JavaランタイムにGIFファイルにより攻略可能な脆弱性 46
Secunia アドバイザリによると、SUN Java ランタイムにリモートからシステムにアクセスできる脆弱性(SUN による発表)が報告されています。幅0ピクセルの攻略GIFファイルでヒープオーバフローを起こし、任意のコードが実行できるそうな。とはいえZERO DAY INITIATIVEによると、鴨となるユーザーが、攻略ファイルをしかけた悪意あるサイトを訪問する必要があるようです。脆弱性の緊急度は 5 段階の 4 (Highly critical)で、すでに Java 1.3/1.4/5.0 で対策バージョン(1.3.1_19/1.4.2_13/5.0 update 10)が提供されています。
タレコミ内リンクが英語サイトのため (スコア:5, 参考になる)
Java 2 Standard Edition, v 1.3.1_19 (J2SE) [sun.com]
Java 2 SDK, Standard Edition, v 1.4.2_13 (J2SE) [sun.com]
Java SE ダウンロード [sun.com]
ストーリーと関係はありませんが、Java 5.0 update 10 リリースノート [sun.com]によれば、
Vista 向けの修正がいくつかはいっていますね。
Re:タレコミ内リンクが英語サイトのため (スコア:3, 参考になる)
ポインタもあわせて置かせて下さい。
Java ソフトウェアのインストール状況のテスト [java.com]
-----
オフトピだけどFlash Playerのバージョン確認ページ [adobe.com]も便利。
Re:タレコミ内リンクが英語サイトのため (スコア:1)
「基本」タブの「バージョン情報」ボタンをクリック、で分かるかな。
もしくは、コマンドプロンプトで、java -version でも表示される。
まぁ知ってて当然のレベルの話ですが。
Re:タレコミ内リンクが英語サイトのため (スコア:0)
adobeのページはOK。
Javaで書いていればこんなことにはならなかったろうに (スコア:2, おもしろおかしい)
.NETで書いていれば(ry (スコア:0)
Re:.NETで書いていれば(ry (スコア:0)
Re:.NETで書いていれば(ry (スコア:0)
OSS化で発見? (スコア:1)
最近の脆弱性の発見頻度からするとそうでもないような気がしますが……
Re:OSS化で発見? (スコア:1, 参考になる)
ソースコードが見られるか、という意味では、OpenJDKの前からSCSLやJRLの元で見ることはできました。
http://java.sun.com/javase/faqs.jsp#Licensing [sun.com]
ですから、OSS化の影響かと言われると、そうでもないように思います。 もっとも、OSS化で興味を持つ人が増えたから見つかった、という可能性はありますが。
Re:OSS化で発見? (スコア:0)
Mac OS X では未対処? (スコア:1)
パッチの発行されていない脆弱性が存在する、と推測できると思う。
システム修正 (スコア:0)
システム側は動作試験し直し?
Re:システム修正 (スコア:0)
完全な動作の保証を求めるには提供側に確認してもらうしかない。
そのためのサポートでしょ?
それとも売り切りなの?
だとしたらそういう契約してないところが悪い。
いまどきOSだってアンチウィルスだってその他のアプリだってパッチは定期的に当てれるし、それが普通。
国のシステム (スコア:2, 参考になる)
(因みにオンライン申請では JRE 1.4.2_11、有価証券の開示では JRE 1.5.0_05 が要求され、同一マシンで2つのサービスを受ける事はできません。)
セキュリティパッチが当たったものが指定バージョンになるのは通常数ヶ月先になります。
Re:国のシステム (スコア:0)
Re:国のシステム (スコア:0)
Re:国のシステム (スコア:0)
JREは複数インストールできるしWebページやアプリ側で使用バージョンの指定もできるのに妙な仕様ですね。やっぱり手抜きをごまかしてるだけなんでしょう。
仮に政府調達が.NET Framework製のアプリになっても「.NET Framework 1.1のみ。2.0との共存は不可。セキュリティパッチ不可」とかやるんでしょうかね。Windows Vistaでいきなり達成不可能ですし想像しただけでもオラワクワクしてきます。
Re:システム修正 (スコア:0)
鴨となるユーザー (スコア:0)
Re:鴨となるユーザー (スコア:0)
「とはいえ」? (スコア:0)
Re:「とはいえ」? (スコア:0)
悪意あるサイト経由じゃなくてもアプレットを扱うなら等しく脆弱だよ。
もうめんどくさいしこのままでいっか。
いまさらアプレットなんて使わんことだしブラウザで無効化だけしとこう。
部門名 (スコア:0)
#日本語文法が怪しい今日この頃
Re:部門名 (スコア:1)
Re:部門名 (スコア:1)
Re:部門名 (スコア:0)
Re:部門名 (スコア:0)
自分はDAKARA(小便小僧)のCMではじめてこの表現を知りました。
無駄に堅苦しい(日本語として?な)表現を揶揄したんでしょう。
# ネタにマジレスすみません
Re:部門名 (スコア:0)
Re:部門名 (スコア:2, おもしろおかしい)
ABを、AかつBを言い換える例を列挙してみるか?
# ヒレカツ ハンバーグ
Re:部門名 (スコア:1)
トンカツ カレー とか (スコア:1)
># ヒレカツ ハンバーグ
「ヒレカツ ハンバーグ」と「ヒレハンバーグ」だと、似て非なるものになっていないだろうか?
タブレット中毒者。
Re:部門名 (スコア:0)
解り難かったので、表記を改めてみました。
ヒレ メンチ カツ
# RPN?
Re:部門名 (スコア:0)
正確に書くことはそれなりに重要だが、言葉の誤用がある文章を読み解けることも重要
Re:部門名 (スコア:0)
「意味不明」と言われてもしかたないレベルかと。
これを書いた人の意図を推定することはできますが、このような誤用をやらかす人が「可及的」の意味自体を取り違えていないという保証もないので、その推定が当たっているかどうかは不明ですね。
Re:部門名 (スコア:0)
んなこと言ったら人と会話なんてできんわい
神経質なやっちゃ
Re:部門名 (スコア:0)
私はエヴァンゲリオンのミサトさんの台詞で知りました。
それだけなのでAC.
Re:部門名 (スコア:0)
Re:部門名 (スコア:0)
Re:部門名 (スコア:1, 参考になる)
#どうでもいいのでAC
Re:部門名 (スコア:0)
#可及的かつ速やかに、っていう台詞を使うキャラクターが居るのですよ。
#自分もファンなのがバレルと困るのでAC
Re:部門名 (スコア:0)
「火急かつ速やか」
意味: とっととせんかい!! ケツに火 点けんぞっ!!
タレコミに物申す (スコア:0, 荒らし)
そこへ来て、
- 攻略GIFファイル
- 鴨となるユーザー
ときたもんだ。「悪意あるサイトを訪問する必要がある」←ここだけ切り出してみ
どんな先入観が発生するんだか。
ああ、言葉が悪かった。謝っとくよ。言いたかったことは、
タレコミは正確に
色を付けるのはコメントにまかせておいて。
Re:タレコミへの指摘感謝 (スコア:1)
いちおうネタ元はSecunia アドバイザリですから、その情報の真偽は何とも言えませんが、少なくとも
攻略GIFファイル
はタレコミ人の勘違いだったことが BugTraq で公開された実証コード [securityfocus.com]で明らかになりました。
詳しくはリンクを参照してください。ご指摘に感謝です。また「荒らし」モデに懲りずに何かありましたらコメントお願いいたします。m(_@_)m
モデレータは基本役立たずなの気にしてないよ
データベースから抽出した場合 (スコア:0)
逆にBLOB列からGIF画像を抽出して、image系なクラスを使ったりすると、幅が0の場合は大変な事になる
と言う事でしょうか??。
#↑例えば<IMG SRC="/HogehogeServlet">な方法としたときのHogehogeServlet.classでとか