最新版Mac OS Xにも存在するJavaの脆弱性、実証コードが公開される

最新版Mac OS Xにも存在するJavaの脆弱性、実証コードが公開される 57

ストーリー by makeplex 2009年05月21日 17時43分
不正アプレットがそろそろ出回るかも部門より

あるAnonymous Coward 曰く、

ITmediaの記事参照。今月12日にリリースされたばかりの最新版Mac OS Xに[6カ月前に明らかになっていた]Javaの脆弱性が残っているそうだ。Java Appletが実行されるだけで、実行中ユーザーの権限で任意のコードが実行可能、との事。当該脆弱性について、Sunはすでに対応を完了している。
US-CERTとIntegoは、Appleがパッチを公開するまでの間、ブラウザでJavaを無効にするのが最善の策だと勧告している。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索57コメント Log In/Create an Account

これはMac OS X向けのOpenJDK 6の宣伝ですか (スコア:2, 参考になる)

by masakun (31656) on 2009年05月21日 18時23分 (#1570232) 日記

Mac OS X Java applet Remote Deserialization Remote PoC (updated) [milw0rm.org]
この実証コードを公開した Landon Fuller 氏曰く、
Five months ago, CVE-2008-5353 and other vulnerabilities were publicly
disclosed, and fixed by Sun.(略)The recent release of OpenJDK6/Mac OS X
is not affected by CVE-2008-5353.
Mac OS X に取り込まれているJavaに残っている脆弱性(CVE-2008-5353)は、最新の OpenJDK6 for MacOS X （Java 6 Update 11に相当するバージョン [mycom.co.jp]）では対策済みとのこと･･･って、OpenJDK6 の Mac OS X 移植者が実証コードをオンラインに公開したのか。うーんなんとなく悪意を感じるな。
SoyLatte: Java 6 Port for Mac OS X 10.4 and 10.5 (Intel) [bikemonkey.org]

--
モデレータは基本役立たずなの気にしてないよ
- 俺はAppleの態度のほうに悪意を感じるな (スコア:0)
  
  by Anonymous Coward
  
  客に喧嘩売ってるんだから殴られて当然だろ
  - Re:俺はAppleの態度のほうに悪意を感じるな (スコア:2, 興味深い)
    
    by Anonymous Coward on 2009年05月21日 19時44分 (#1570293)
    
    客に喧嘩売ってるんだから殴られて当然だろ
    ADCでは、Update13ベースのPreviewが4月に出ていましたからAppleはやる気があると思います。
    Snow Leopard直前なので不思議に思ったのですが。
    実証コード公開の方が、悪意を感じます。
    
    シェア
    
    親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      これですね。
      Java for Mac OS X 10.5 Update 4 Developer Preview 1
      http://lists.apple.com/archives/java-dev/2009/Apr/msg00221.html [apple.com]
- むしろ宣伝上等じゃね？ (スコア:0)
  
  by Anonymous Coward
  
  Appleもとっとと直せよってことで。
appleのJava対応はひどいよなー (スコア:2, 興味深い)

by Anonymous Coward on 2009年05月21日 20時17分 (#1570309)

件の問題もそーだけど、CocoaJavaはバッサリ切るし、枯れてて良いフレームワークなWebObjectsも捨て子同然の扱いだし…iPhoneとかに熱あがっちゃってるのは理解するけどさ、こーゆーところもしっかりしてくれって感じだぜ
- Re:appleのJava対応はひどいよなー (スコア:2, 興味深い)
  
  by Anonymous Coward on 2009年05月22日 0時04分 (#1570409)
  
  結局Sun等の意向とは完全に真逆で、Appleもプラットフォーム固有の機能を使わせたがってたからな。Microsoftはもっと強引だったけど。結局、前者はObjective-Cに回帰して、後者はC#/CLIを作ってしまった。
  
  シェア
  
  親コメント
- Re:appleのJava対応はひどいよなー (スコア:1)
  
  by schwarz (28506) on 2009年05月21日 22時35分 (#1570376)
  
  逆にApple的にいえば、もうちょっとJavaがんばってくれって感じなんでしょうね。
  デスクトップ用途はなかなか普及しませんし、そこまでコミットできないのでしょう、たぶん。
  #でもそれならそれでSUN純正のを出させろとかいろいろ思いますけど･･･
  #DockのJavaの扱いとかひどいんだよ。もう。
  
  シェア
  
  親コメント
- Re:appleのJava対応はひどいよなー (スコア:1)
  
  by doh (35450) on 2009年05月22日 9時19分 (#1570513) 日記
  
  Javaのポーティングが大変なんだと思います。Sunのが出てからAppleがリリースするまでいつも結構時間かかっていますから。Mac版もSunがリリースしてくれるようになれば良いのですがね。OpenJDKに期待という手もありますが。
  
  シェア
  
  親コメント
実害が出ないのはMacOSXの優秀性の証拠 (スコア:2, おもしろおかしい)

by Anonymous Coward on 2009年05月21日 21時03分 (#1570336)

何だかんだいってもユーザーに被害を及ぼすことが出来ていないのは
OSXにそれを食い止める機構があるからでしょう。
セキュリティホール即実害が発生するWindowsとは対照的です。
シェアが低いから狙われにくいで片付けるにはあまりにもシェアが増えすぎているわけですから。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  でも実際のとこJAVAってなんのためにあるのかよくわからんな。
  何に使うの? って感じ。
  セキュリティホールになるくらいなら最初から入れないほうが良い気もするが。
  OSのシェアが増えても使う場面がなければいれる意味ないよねぇ。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    > 何に使うの? って感じ。
    
    自分の使う範囲では、株式などのオンライン取引は大抵はJavaでしたね。
    最近増えてきた専用アプリはC#が多いようです。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    freenet
- Re: (スコア:0)
  
  by Anonymous Coward
  
  「Macの脆弱性は綺麗な脆弱性」ですね
- Re: (スコア:0)
  
  by Anonymous Coward
  
  >シェアが低いから狙われにくいで片付けるにはあまりにもシェアが増えすぎているわけですから。
  そうですね。
  まだ、大不評のVistaの半分よりさらに少ないですけど。
  - Re:実害が出ないのはMacOSXの優秀性の証拠 (スコア:1, すばらしい洞察)
    
    by Anonymous Coward on 2009年05月22日 21時45分 (#1571175)
    
    > まだ、大不評のVistaの半分よりさらに少ないですけど。
    でもそれくらいの差しか無いということになると、シェアが
    原因で狙われないと言う話は100%嘘だという気がしてくる
    なあ。
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    そういや、MacってLinuxとどっちがシェア高いんだっけ？
    
    #とは、良く聞かれるパターンだな。(w
伊藤園広告うぜぇ！！　T/O (スコア:0, すばらしい洞察)

by Anonymous Coward on 2009年05月21日 17時50分 (#1570202)

t/o
Javaのセキュリティアップデート (スコア:0)

by Anonymous Coward on 2009年05月21日 19時28分 (#1570280)

Javaのセキュリティアップデートはこれまで大抵、Java for Mac OS X 10.x Release yやらUpdate zって名前で出てたんだし、今回の10.5.7とかSecurity Update 2009-002で直ってないからって「ムキーッ！」ってなっても仕方ないw
appleのサイトに繋がらない.... (スコア:0)

by Anonymous Coward on 2009年05月21日 19時33分 (#1570284)

しょうがないので, /.を見たら, これが原因?
- Re:appleのサイトに繋がらない.... (スコア:1)
  
  by nullme (33867) on 2009年05月21日 19時45分 (#1570294) 日記
  
  safariでアクセスしているならapple.comのcookieを削除してから、再度アクセスしてみるべし。
  
  シェア
  
  親コメント
- Re:互換性 (スコア:1, 興味深い)
  
  by Anonymous Coward on 2009年05月21日 18時47分 (#1570248)
  
  >これがWindowsだと「どこそこの電子申請システムを動かすために必要」とかいう
  >理屈で有効にし続けることが正当化されてしまうわけですが、
  > Macだったらそんなものはどうせ最初からサポート対象外ですから問題ありませんよね。
  
  何言ってんだか。
  MacでもWindowsでもLinuxでも動かせるようにするためのJavaでしょ。
  
  ま、実態は開発者が楽をするためだけにJava使ってるだけなんだけどね。
  
  ところで、Javaの脆弱性の多さや、それに伴うアップデート、アップデート後の
  ゴミの酷さが嫌になってアンインストールしたんですが、無くても困りません。
  Javaって必要？
  
  「どこそこの～」みたいなものがないって嬉しいですね。
  
  シェア
  
  親コメント
  - Re:互換性 (スコア:1, おもしろおかしい)
    
    by Anonymous Coward on 2009年05月22日 9時56分 (#1570523)
    
    > MacでもWindowsでもLinuxでも動かせるようにするためのJavaでしょ。
    あなたは底辺のデジタル土方のスキルを高く見積もりすぎです。JREのパスを決め打ちしているのでパッチバージョンが違うと動かないとか、エンドユーザーにコマンドプロンプトでバッチファイルの実行を指示するとかいう世界です [takagi-hiromitsu.jp]。当然OSが違ってたら動くわけありません。
    
    シェア
    
    親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      安心していい。
      MacでもLinuxでも使ってる連中は、底辺のデジタル土方のスキルを遙かに超えているハズ。
      サポートなんかしなくっても、勝手にパッチとかして使うでしょ。放置、放置。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    FirefoxのQuickJavaってアドオンで普段切ってますけど、
    そう言えば必要になる状況って全くと言って良いほど無いですね。
    #携帯コンテンツの開発する時に必要なんで入れてますけど。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    JRubyを動かすために欲しいです(違
    - JRuby, JPHP (スコア:0)
      
      by Anonymous Coward
      
      resinいいよresin!
      超お手軽Java Webサーバーです。 [caucho.com]
      # 惜しむらくはJPHPコンパイラは有料版だけなんだよなぁ...お遊びには高ひ。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  Macってログインしているユーザはもともと一般のユーザ権限じゃねーの？
  必要なときだけ昇格するんだと思ってたけど。
  一般ユーザ権限なら最悪のっとられても問題ないと思い込んでいるのがﾏｶｰだけど。
  - Re:互換性 (スコア:1)
    
    by Alef_F (27309) on 2009年05月21日 18時26分 (#1570235)
    
    Macってログインしているユーザはもともと一般のユーザ権限じゃねーの？
    必要なときだけ昇格するんだと思ってたけど。
    そうです。
    求められるパスワードは管理者として登録されたユーザのそれと同じですが、そのユーザでログインしていても、管理者権限が必要なコマンドはsudoで実行する必要があります。
    ＃一般ユーザ権限で、パスワード入力ダイアログと同じに見えるものを出して、パスワードを盗み取ることができるかどうかは知らない。
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    キーロガーとか仕込むのは無理としても、プロキシをこそ～り引いてスニフィングくらいは出来るんじゃ？
    アプリ自体はスーパーユーザー権限じゃないし。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  UACはどうもKDESU崩れのようなものにしか見えません。
  でも実態はMac由来なんでしょうねぇ。Macのは権限外の動作しようとしたときに「認証」ボタンを押せば
  管理者ユーザーならパスワードだけ、一般ユーザーならid/pass入力のダイアログがでますけど、
  よーーーく見るとアピアランス設定と異なった感じに出るんです。
  これはキーロガー／乗っ取り防止のもので、UACのそれと一緒なのでしょう。
  # 未だにJava1.5系から出られない、うちのまだまだ現役PowerPC機をさすがに買い替えろと申すか
  - - Macの影響力もたいしたことないな (スコア:2)
      
      by tectaro (28890) on 2009年05月22日 2時33分 (#1570460)
      
      Macの影響が騒がれはじめた頃から、電柱は少しずつ地中線に置き換えられていってる。
      
      シェア
      
      親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      なにを当たり前のことを
- Macは安全 (スコア:1, 興味深い)
  
  by Anonymous Coward on 2009年05月21日 22時56分 (#1570381)
  
  実証のためのExploitコードだから実害はない
  実害でまくりのWindowsと違ってMacが安全であることに変わりはない
  ってﾏｶｰが言ってた [srad.jp]よ
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  そういえばこれの元ネタって何? 後半は五右衛門だと思うんだけど。
  - Re:忘れ物をお届けにあがりました（オフトピ） (スコア:1, 参考になる)
    
    by Anonymous Coward on 2009年05月21日 21時15分 (#1570344)
    
    タレコミの最初の一文 [srad.jp]からセキュリティネタな時は入れてしまえって発言が出て [srad.jp]そしてLinuxネタで今の定型文に [srad.jp]
    というのが/.で書かれる元ネタですが。
    # 相当オフトピックネタなのでACで。
    --
    誰も信じちゃいけない、裏切られるから。
    私を信じないで、貴方を裏切ってしまうから。
    
    シェア
    
    親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      いかにもエンガジェの厨二病管理人が使いそうなフレーズだが、スラド由来なのか。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        まとめてえんがちょ

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

最新版Mac OS Xにも存在するJavaの脆弱性、実証コードが公開される More ログイン

これはMac OS X向けのOpenJDK 6の宣伝ですか (スコア:2, 参考になる)

俺はAppleの態度のほうに悪意を感じるな (スコア:0)

Re:俺はAppleの態度のほうに悪意を感じるな (スコア:2, 興味深い)

Re: (スコア:0)

むしろ宣伝上等じゃね？ (スコア:0)

appleのJava対応はひどいよなー (スコア:2, 興味深い)

Re:appleのJava対応はひどいよなー (スコア:2, 興味深い)

Re:appleのJava対応はひどいよなー (スコア:1)

Re:appleのJava対応はひどいよなー (スコア:1)

実害が出ないのはMacOSXの優秀性の証拠 (スコア:2, おもしろおかしい)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:実害が出ないのはMacOSXの優秀性の証拠 (スコア:1, すばらしい洞察)

Re: (スコア:0)

伊藤園広告うぜぇ！！ T/O (スコア:0, すばらしい洞察)

Javaのセキュリティアップデート (スコア:0)

appleのサイトに繋がらない.... (スコア:0)

Re:appleのサイトに繋がらない.... (スコア:1)

Re:互換性 (スコア:1, 興味深い)

Re:互換性 (スコア:1, おもしろおかしい)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

JRuby, JPHP (スコア:0)

Re: (スコア:0)

Re:互換性 (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Macの影響力もたいしたことないな (スコア:2)

Re: (スコア:0)

Macは安全 (スコア:1, 興味深い)

Re: (スコア:0)

Re:忘れ物をお届けにあがりました（オフトピ） (スコア:1, 参考になる)

Re: (スコア:0)

Re: (スコア:0)

伊藤園広告うぜぇ！！　T/O (スコア:0, すばらしい洞察)