quinta-feira, 16 de julho de 2015

Oracle corrige falha de dia zero no Java e outras 190 vulnerabilidades

Em seu patch mais recente, a Oracle consertou 25 falhas do Java, incluindo uma que já era explorada em ataques. A empresa liberou o Update 51 para Java 8, o Update 85 para Java 7 e o Update 101 para Java 6, dos quais apenas o primeiro é público, já que o suporte para as versões anteriores se esgotou há alguns anos e está disponível apenas a clientes com contratos de extensão. Entre os reparos, um é específico à plataforma Mac e quatro são para o Java Secure Socket Extension (JSSE), informou Eric Maurice, diretor de segurança de software da Oracle.

Além da linguagem de programação, a companhia também atualizou uma gama de outros produtos, como Oracle Database, Oracle Fusion Middleware, Oracle Hyperion, Oracle Enterprise Manager, Oracle E-Business Suite, Oracle Supply Chain Suite, Oracle PeopleSoft Enterprise, Oracle Siebel CRM, Oracle Communications Applications, Oracle Java SE, Oracle Sun Systems Products Suite, Oracle Linux and Virtualization e Oracle MySQL. Ao todo, 193 vulnerabilidades foram reparadas, das quais 44 eram decorrentes de componentes externos.

Das 25 falhas corrigidas na plataforma, 23 podem ser exploradas remotamente sem a necessidade de autenticação, com 16 vulnerabilidades afetando somente a implementação para clientes e 5 atingindo a implementação de clientes e servidores.

A atualização reparou a falha CVE-2015-2590, que possuía status de dia-zero, ou seja, era explorada por agressores enquanto não era disponibilizada uma solução. Ela foi descoberta por pesquisadores da Trend Micro em ataques que às forças armadas de um país membro da OTAN não identificado e às defesas dos Estados Unidos.

As agressões foram promovidas pelo grupo de ciberespionagem conhecido como Pawn Storm ou APT28, supostamente ligado ao serviço secreto russo. Ativo desde 2007, ele costuma se focar em organizações militares, midiáticas e governamentais.

Embora o Java ainda seja muito usado em aplicações Web de ambientes corporativos, raramente é encontrado em sites voltados ao consumidor, eliminando a necessidade do plug-in na maioria dos navegadores de usuários finais, alvos da maioria das explorações da plataforma.

É possível realizar a remoção e a inabilitação manual do Java nos navegadores instalados em um computador, mas o plug-in pode ser reabilitado automaticamente em sua próxima atualização. Desinstalá-lo do sistema costuma ser inviável, pois algumas aplicações ainda o exigem.

Felizmente, a Oracle adicionou uma opção no painel de controle da plataforma que serve de central para a inabilitação do suporte a conteúdo baseado em Java nos navegadores.

As empresas que dependem do suporte Java para a Web terão mais trabalho para se defenderem das explorações de dia-zero, mas algumas opções já reduzem a probabilidade de ataque. O Internet Explorer, por exemplo, possui uma ferramenta que permite aos administradores restringirem os sites com permissão de carregar conteúdo Java, enquanto o Mozilla Firefox e Google Chrome oferecem a opção de clicar para reprodução, usada para prevenir a execução automática de conteúdo baseado na linguagem de programação.

quarta-feira, 15 de julho de 2015

Austrália, Canadá e Espanha recrutam brasileiros para oportunidades em TI

Se você está em busca de uma oportunidade em tecnologia da informação (TI) fora do País, essa pode ser sua chance. Austrália, Canadá e Espanha estão com vagas abertas para brasileiros. Confira abaixo as vagas:

Austrália
Na Austrália, por exemplo, são 191 oportunidades em diferentes segmentos, incluindo TI e engenharia. Para visualizar as vagas, é preciso acessar o site do governo em Skilled Occupation List (SOL), e buscar as posições. Para se candidatar, é necessário procurar, até 30 de julho, as respectivas autoridades responsáveis pela análise de currículos - indicadas ao lado direito da tabela.

Espanha
Já as oportunidades na Espanha somam mais de 300. As vagas são para diversas cidades: Barcelona, Lleida, Valencia e Madrid. Para se candidatar, é necessário ter inglês fluente e bons conhecimentos em Java (FE e BE), HTML 5, JS Angular, Cobol, QlikView, Powercenter, e SQL.

Os interessados devem enviar o currículo em inglês para careeriberia@gft.com com o assunto “Espanha” na mensagem até 30 de julho. 

Canadá
O país procura talentos em TI que falem francês para atuar na região de Quebec em um contrato temporário. São cerca de 130 oportunidades em nove empresas. Os profissionais devem reunir conhecimentos em desenvolvimento Java, C++, C#, Phyton, .Net, desenvolvimento web, iOS ou Android, administração de banco de dados, tecnologia Genesys, entre outros. Os currículos devem ser enviados até 9 de agosto. 

Fonte: ItForum365

segunda-feira, 6 de julho de 2015

5 recursos do Java 9 que vai mudar como você desenvolve Software (e 2 que não vai)

Quais são as características mais emocionantes que são esperados para ser lançado em Java 9?

Não se distraia com o silêncio ultimamente em torno do Java 9. Os committers JDK estão trabalhando duro para preparar a próxima versão, prevista para ser concluída a poucos meses, em Dezembro de 2015. Depois disso, ele vai passar por testes rigorosos e correções de bugs preparando-o para disponibilidade geral, que está prevista para setembro de 2016.
Hoje temos uma imagem muito clara das características que podemos esperar do Java 9. Se o Java 8 poderia ser descrito como o maior lançamento de lambdas, streams e mudanças na API, então Java 9 é tudo sobre Jigsaw, utilitários extras e mudanças sob o capô . Neste post reunimos algumas das características que acreditamos serem os mais emocionantes que são alvo do Java 9 - Além de do projeto Jigsaw, que assumiu a missão de quebrar o JRE e trazendo modularidade para componentes do núcleo do Java.

1. Java + REPL = jshell

Sim. Anteriormente tínhamos dúvidas que o projeto Kulla tornaria a tempo para integrar o Java 9, mas agora é oficial. A próxima versão do Java contará com uma nova ferramenta de linha de comando chamado jshell que irá adicionar suporte nativo e popularizar uma maneira Java para REPL (Leia-Eval-Print-Loop). Significado, digamos, se você vai querer executar algumas linhas de Java em seu próprio país, você não terá que embrulhar tudo em um projeto ou método separado.

2. microbenchmarks estão chegando

O Java Microbenchmarking Harness (JMH) por Alexey Shipilev está dando o próximo passo em sua evolução e se junta Java como uma solução oficial benchmarking. Então uma maneira padronizada de realizá-las é algo que é com certeza uma melhoria.
JMH é um Java harness para construção, execução e análise de nano / micro / mili / macro benchmarks. Quando se trata de aferição precisa, há forças em jogo como vezes warmup e otimizações que podem ter um grande impacto nos resultados. Especialmente quando você está indo para baixo para micro e nano segundos. Então, hoje JMH é sua melhor escolha se você deseja obter os resultados mais precisos para ajudar você a alcançar a decisão direita seguindo seus benchmarks - E agora está se tornando um sinônimo de Java 9.

3. G1 será o novo coletor de lixo padrão?


Um equívoco comum que muitas vezes ouvimos é que Java tem apenas um coletor de lixo, quando na verdade ele tem 4. Com Java 9, há uma proposta em progresso que ainda está em debate para substituir o coletor padrão de lixo (O paralelo / coletor de throughput) com G1, que foi introduzido no Java 7. Para uma visão mordida dimensionada sobre as diferenças entre os diferentes colecionadores, você pode conferir esse post aqui.
Geralmente, G1 foi projetado para melhor montões de apoio maiores do que 4 GB e tem sido conhecido por causar pausas do GC menos freqüentes, mas quando se trata de uma pausa, ele tende a ser mais longo. Recentemente nós discutimos todas as coisas GC com Haim Yadid, chefe de desempenho no Outbrain, para ajudá-lo a aprender mais sobre as diferentes soluções de compromisso entre os colecionadores. Além disso, se você gostaria de ter uma visão de dentro deste debate, as listas de discussão hotspot-dev e jdk9-dev são um ótimo lugar para começar.

4. HTTP 2.0 é o futuro


O HTTP 2.0 RFC foi aprovada apenas alguns meses atrás, a construção em cima de algoritmo SPDY do Google. SPDY já mostrou grandes melhorias de velocidade através de HTTP 1.1 que variam entre 11,81% para 47,7% e a sua execução já existe na maioria dos navegadores modernos.
Java 9 terá suporte completo para HTTP 2.0 e apresentam um novo cliente HTTP para Java que irá substituir HttpURLConnection, e também implementar HTTP 2.0 e websockets.

5. O processo de API terá um enorme impulso


Até agora tem havido uma capacidade limitada para controlar e gerenciar os processos de sistema operacional com Java. Por exemplo, a fim de fazer algo tão simples como obter o seu processo PID em versões anteriores do Java, você precisa do código nativo de acesso ou usar algum tipo de uma solução mágica. Além disso, seria necessário uma implementação diferente para cada plataforma para garantir que você está recebendo o resultado correto.

A atualização irá estender a capacidade do Java para interagir com o sistema operacional: Novos métodos diretos para lidar com PIDs, nomes de processos e estados, e capacidade de enumerar JVMs e processos e muito mais.

O que você não vai estar vendo em Java 9?


Duas características interessantes que assumimos vai fazer parte da próxima versão Java - mas agora nós sabemos que eles serão ignorados neste momento são:

1. API JSON padronizada


Em uma pesquisa que realizamos com 350 desenvolvedores, a API JSON foi tão alardeado como Jigsaw, mas parece que não fez o corte, devido a problemas de financiamento. Mark Reinhold, arquiteto-chefe da plataforma Java, na lista de discussão JDK 9:
"Este PEC seria uma adição útil para a plataforma, mas, no grande esquema das coisas, não é tão importante quanto os outros recursos que a Oracle está a financiar, ou financiamento, considerando, para JDK 9. Podemos reconsiderar esta JEP para 10 ou JDK uma versão posterior. "

2. Dinheiro e API Moeda

Em outras notícias, também foi falado a respeito da Money and Currency API que também está com falta de suporte Oracle. Esta é a resposta que recebemos do Anatole Tresch, a liderança APIs spec.


Fonte: JavaCodeGeek Traduzido por: ALJUG