パスワードを忘れた? アカウント作成
6211289 story
Java

Java Runtime Environment 7に脆弱性が見つかる、攻撃サイトも登場 55

ストーリー by hylom
アップデートはいつリリースされるか 部門より
あるAnonymous Coward 曰く、

Java Runtime Environment (JRE)7 Update 6に脆弱性が発見されました。これを悪用してマルウェアに感染させるウェブサイトも発見されています(ITmedia)。

JVNによると、「Java のサンドボックスを回避され、任意の OS コマンドが実行可能な脆弱性が存在します」とのこと。細工されたJavaアプレットが埋め込まれたWebページを開くことで、任意のコマンドが実行される恐れがあるという。現時点で対策方法はなし。アップデートが提供されるまではWebブラウザのJavaプラグインは無効にしておいたほうが良さそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by deleted user (19654) on 2012年08月28日 18時23分 (#2220232) ホームページ 日記

    http://developers.slashdot.org/story/12/08/27/1658238/experts-develop-... [slashdot.org]
    から辿れる
    http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-info... [deependresearch.org]
    には、「本当は Java を無効化するのがいいんだけど、どうしても無理ならパッチあげるよ」っていう感じの記事があります。

    10月までパッチが出ないとなると、影響がどこまで大きくなるやら……。

  • by Anonymous Coward on 2012年08月28日 18時27分 (#2220235)

    http://itpro.nikkeibp.co.jp/article/COLUMN/20120817/416402/ [nikkeibp.co.jp]

    見つかってるだけマシなのか、作りがザルなのか…

    • MyJVN [jvndb.jvn.jp] の利用で JRE が必要ってのがなんだかすごくモヤっとします。

      親コメント
      • by Anonymous Coward

        JRE6をインストールしていると「最新じゃない」と表示されてJRE7u6なら「最新」と表示されるという始末。
        「最新なら安全」とは確かに一切言っていないが、もはや有害だろこれ

    • 3年連続トップな上に、割合が38%→58%→84%って…
      古いバージョンが使われてることが多いのも狙われる原因なんだろうな

      親コメント
    • by Anonymous Coward on 2012年08月29日 2時31分 (#2220483)

      タスクトレイからアップデート通知をもらうんですが、一般ユーザだとUAC昇格認証後もエラーでアップデートできません。
      仕方なく特権ユーザで再ログインして更新を行ってます。
      で、アップデート作業後もアンインストール一覧画面に旧版のJREが残り続け、リストから削除もできないという有様で…。

      Sun/Oracleは、まともなWindowsプラットフォーム対応はやる気ないんですかねぇ。。
      こんなアップデートのためだけにプロセス常駐するんですけど、メモリのムダで馬鹿らしいので機能を殺しました。
      一応はきちんと動いているFlashUpdateは立派です。

      親コメント
      • by Anonymous Coward

        最近のものでも発生しますか?

        うちでは、

        アップデート作業後もアンインストール一覧画面に旧版のJREが残り続け

        は、最近は起こりませんねぇ。

        リストから削除もできない

        は経験ないです。

    • by Anonymous Coward

      これ見たときは笑った。Flashなんてカワイイもんじゃ

    • by Anonymous Coward

      なまじ何でもできるもんだから・・・
      Appletが衰退したのも仕方ないのかもね

  • by Anonymous Coward on 2012年08月28日 18時29分 (#2220238)

    >現時点で対策方法はなし。アップデートが提供されるまではWebブラウザのJavaプラグインは無効にしておいたほうが良さそうだ。

    アプレット開発者(絶滅危惧種)とか、特定の業務用アプレットの使用を強要されでもしない限り、
     Javaプラグイン無効化→JRE Updateを待つ→脆弱性修正を確認後、Javaプラグイン再有効化
    なんてする人いないでしょ。
    二度と再有効化しないか、最初から無効化しないか。

    Javaアプレットが今後メインストリームに復活するなんて、元SUNの人でも考えてないだろうけど、
    業務用とか、特定目的で使わざるを得ないケースもあると思うので、
    負の資産と割り切って、ホワイトリストで運用しかないと思う。

    • 最近だと、VPS系でブラウザから起動するVNC,terminalとかで割と必要になる気がします。
      親コメント
      • それって一般人には無縁ですよね。

        # 何のためにJRE入ってるんだろう...

        親コメント
        • Re:もう無理 (スコア:3, すばらしい洞察)

          by hahahash (41409) on 2012年08月29日 11時17分 (#2220660) 日記

          たしか、OpenOfficeってJRE要求しませんでしたっけ?

          そんな感じで、ブラウザプラグインとしてではなく、
          アプリの前提条件としてJREを要求することもあるわけで、

          そういう場合だと、自分では『オフィスソフトをインストールしただけ』と思ってて、
          JREとか意識してない可能性が高そうだから、より危険かもしれない。

          親コメント
        • by kei100 (5854) on 2012年08月29日 0時52分 (#2220469)

          プリインストールされてて放置されてたとか。

          一般人がJava使うって言ったら回線のスピードテストとかですかね?
          最近だとMinecraft(ブロック箱庭ゲー) [minecraft.net]がJavaを要求する [mojang.com]のでゲームの為に入れてる人も結構居る可能性が。

          # 自分はRAIDカードのMegaRAID Storage ManagerがJava使ってたり、Androidアプリ開発でJDKやら、リモートコンソールのKVMがブラウザ+Java Plug-in要求するので入れてるマシンもある。

          --
          私を信じないで、貴方を裏切ってしまうから。
          親コメント
      • by Anonymous Coward

        ハード系の開発ツールは脱Windowsのためか、Javaで作ってマルチプラットフォーム化するのが今のはやり

    • by Anonymous Coward

      Javaアプレットが今後メインストリームに復活するなんて、元SUNの人でも考えてないだろうけど、
      業務用とか、特定目的で使わざるを得ないケースもあると思うので、
      負の資産と割り切って、ホワイトリストで運用しかないと思う。

      そうなんだよねぇ……意外とブラウザからキックされるVPNに使われてるのは見たりする……
      ので仕事用には使わざるをえなかったり……

      # これ専用、ってことで用途専用のブラウザを作って対応してます

      • by Anonymous Coward

        何が駄目だったの?
        Flash よりだいぶまともな技術だよな・・・。

        Run anywhere じゃなかったからか?

        • Re:もう無理 (スコア:2, 興味深い)

          by Anonymous Coward on 2012年08月29日 10時48分 (#2220628)

          クライアントサイド Java がダメになった理由/以下すべて想像:

          (1) 起動が遅い
          Web ページ上の動きのある広告は一瞬で表示されないと誰も見ないしストレスになる。
          Java は起動がもっさり遅いので、目立ちたがりの広告に使われるのは Flash。
          起動しきれば C/C++ に遜色ないくらい早いのにね。

          (2) オーサリングツールがない
          Flash なら Adobe Flash があるけど、Java だとただのデザイナに Eclipse 使えというわけにはいかない。
          ブラウザゲームは Web デザイナがささっと手軽に作れる Flash を選ぶし、
          本気の 3D ゲームは Java に API がないし、効率上の理由で Java を選ぶメリットが小さく、C/C++ になってしまう。

          (3) 動画が非対応
          標準で動画の再生が難しいので、動画サイトは軒並み Flash

          (4) Write Once, Run anyware にこだわりすぎ
          GUI まで API を統一したのはいいが、AWT で最小公倍数的な貧弱さに泣くか
          Swing で重い&ダサい UI を味わうかの2択に。

          (5) Lightweight language の流れに乗れなかった
          Web デザイナもお馴染みの Javascript/ECMAScript に類似している ActionScript に対して、
          昔気質の Java はあんまり好まれなかった。
          自分は ActionScript より Java のほうがずっと好きだけど。LL (笑)

          (6) どうしようもない第一印象
          初期の Java は更に遅かったうえ、必要もないのにページに設置して喜ぶひとが多く、
          「Java は遅い」「邪魔」「要らん」という印象が強く根付いてしまった。

          (7) ライブラリが老朽化
          互換性を重視する割にバージョンアップがかさむから、意外にライブラリがぐちゃぐちゃ。
          Flash や .NET Framework のほうが整理されててつかいやすい。

          異論は認める。

          親コメント
          • by Anonymous Coward

            追加で、アップデート時に頻繁に日本語入力できなくなるバグが再発する(笑)

        • by Anonymous Coward

          MSが独自仕様満載とは言えMS JVMをバンドルしてたのに
          わざわざ外させてクソ面倒な事にしたのが一番の失敗のような…

          • パンデミック危惧種のバナナでさえ5種類くらいあるのに

            • by nmaeda (5111) on 2012年08月29日 11時10分 (#2220652)

              それを管理する手間、リスクをエンドユーザに押しつけるわけですか。
              当時のMicrosoftはそうやってJavaの普及を阻止しようとしていたのでしょうけれど、結果的にアプレットとしては失敗したので万々歳といったところでしょうか。

              コンパイラ言語であれば、多少の方言があっても、それによるメリットを享受するのも、手間がかかるのも基本的には開発者側だから許容できるけど、Javaのランタイムが複数のベンダーから提供されるのはさすがに勘弁して欲しい。

              親コメント
              • by Anonymous Coward

                J#とかそういう遺産もあることだしMS JVMとか作ってたのはむしろ、Javaを普及させて美味しいトコだけ食べたかったようにも見えますけどね。
                SunJVMではなくMS JVMを作ってた理由は主導権を握ってより美味しく食べたかったか、SunからJVMをバンドルさせてもらえなかったと見たほうが良いようにも思えます。

                というか一応は互換性があったのだし、後の訴訟含めてコケる所まで予想してMS JVMだのJ#だのに投資したなんてそれは穿ち過ぎだと思います。

            • by Anonymous Coward

              でも世界がIE6/Flashで統一されればよかったのにとかボヤいてるんでしょ。

        • by Anonymous Coward

          遅くて不安定というイメージが根付いてしまったからでは?
          Flashのほうが速くてゲームもできる、みたいな。

  • by s02222 (20350) on 2012年08月28日 18時49分 (#2220256)
    プラグインを無効化した後、「Java」で検索して出てきたサイトの「Javaの有無のチェック」を叩いて、「検出されませんでした」が出たら一安心、で良いのかな。

    使ってる全マシンの全ブラウザでOFFにしていくとかめんどくさい・・・なんでこう、執拗に全部に入れたんだ、過去の私。

    あと「有効」と「無効」って小さな字だと見分けづらい。ずらっと並ばれるとちょいちょい見落とす。色を変えるとかなんかやっといて欲しかったな。
  • by Anonymous Coward on 2012年08月28日 21時46分 (#2220375)

    ジャバなんて使ってないからアンストして良し。

  • by Anonymous Coward on 2012年08月28日 22時45分 (#2220406)

    元SunでOracle傘下に入ったプロダクトは碌なことが無いな。
    もうさっさとプロジェクト丸ごと切り離してくれよ・・・

    • by Anonymous Coward

      もう、さんざんな目に

  • by Anonymous Coward on 2012年08月29日 8時36分 (#2220536)

    要注意っていうより、諦めろっていうか。

    Appleのセキュリティ意識が低く、致命的なJavaの脆弱性を修正してくれないために大きな被害が出た件で、Oracleが最近になって、やっとAppleに任せずにOracle自らMac用の修正版も提供することになりました。

    でも、対応しているのがLion以降。それより古いものには対応しません。
    Appleも、Lionより古いもののサポートは辞めたんでしたっけ?

    古いとはいっても、Lionが発売されたのが1年ちょっと前。それまで売られていたSnow Leopardより古いものは対応しないなんて、Macユーザも苦労しますね。
    ちょっと古いOS、少々古い機種を使っているMacユーザはJavaの利用は諦めたほうが良さそうです。

    • by Anonymous Coward on 2012年08月29日 10時22分 (#2220597)

      誤解が多すぎて指摘しきれないな.
      AppleはJavaをLion以降プリインストールしないことにして,これまでのコードなどはOpenJDKに移管 [apple.com]している.
      Snow LeopardにおけるJava6まではAppleが引き続きサポートを行い,Java7以降はOracleから入手することで利用するというのは上のリンクにある通り.

      AppleによるJavaのセキュリティアップデートはどうしても本家よりも遅れる傾向にあったので,この方針変更はコミュニティではむしろ喜ばれた [javageek.org]経緯あり.

      親コメント
      • by Anonymous Coward on 2012年08月29日 11時35分 (#2220683)

        どこが誤解なのかわかりません。

        Appleのサポートは他のメーカーと異なり、正式な終了は発表しないみたいで、アップデートが止まっていたらサポートが終わっているのだろうと判断してるみたいですね。
        その上で、過去の例から現行バージョンの1つ前までしかアップデートの対象としないと考えられてる。
        つまり、Lion、Moutain Lionしかアップデートせず、Snow lepard以前はアップデートしないとみられている。

        AppleはLion以降のJREはOracleに任せた。
        Oracleも、Lion以降のサポートは請け負った。

        さて、Snow Leopard以前のJavaのサポートは誰がやるの?

        Appleがユーザのことを考慮して、これまでの態度と違って、サポートするのかもしれないですけど、公式見解みたいなのはありますか?

        Lionが対応していない古い機種は実質上、完全に切り捨てられたと批判がありましたが。

        親コメント
    • by Anonymous Coward

      そもそもSnowLeopard以前はもうJavaに限らずセキュリティフィックスは出ない。
      Appleにお布施を払い続ける気がないならMacの利用自体を諦めたほうがいいよマジで。

  • by Anonymous Coward on 2012年08月29日 12時02分 (#2220714)
    アドオンマネージャのプラグインから無効にするしかないんでしょうか? user.js で無効にできると嬉しいんですけど。 もしくはActiveDirectory環境からどうにかしてJavaを無効にする方法でも構いません。ぜひご教授下さい。
    • by Anonymous Coward

      FirefoxはJava 7をUpdate 6までblocklistに登録した [mozilla.org]そうなので、何もする必要はないはず。
      > ActiveDirectory環境からどうにかして
      あ、企業の環境でmozilla.orgへのアクセスをファイアウォールでブロックしてるならちょっと微妙だけど、blocklistのアクセス先を社内サーバーに向けられるような設定が何かあるんじゃないかな

      • by Anonymous Coward

        訂正。まだblocklistの配信は決定してないみたい

    • by Anonymous Coward

      そのへんGoogle Chromeは心得たもので、「きみの持っているJREはバージョンが古いから、このプラグインページは実行させてやらん」とエラーにします。

      まさしくSun/Oracleを信用しない、ホワイトリスト運用ですね。他のブラウザでもそこまでやってくれればいいなぁ。

      • ActiveDirectory環境での対応
        グループポリシーエディタでコンピュータの構成・基本設定・Windowsの設定・ファイルから、右クリック・新規作成・ファイル
        アクションを削除に設定
        ファイルの削除の入力欄に
        C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll
        を入力してOKボタンをクリック
        で、プラグインを使うブラウザからはJAVAが使用できなくなりました。
        親コメント
typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...