Java 7 Update 10にゼロデイ脆弱性、プラグインの無効化を呼びかけ 29
ストーリー by hylom
既視感 部門より
既視感 部門より
あるAnonymous Cowardのタレコミによると、Java 7 Update 10に未解決の深刻な脆弱性が発見された。すでにこの脆弱性を狙った攻撃も登場しているという(Kerbs on Security、Malware don't need Coffee、AlienVault)。
JVNTA13-010A Oracle Java 7 に脆弱性によると、「Java のサンドボックスを回避され、任意のコードが実行可能な脆弱性」とのこと。現状の回避策としてはWebブラウザのJavaプラグインを無効にすることが推奨されている。
昨年にはセキュリティ企業Kasperskyの研究者がOracleに対し「Oracleの対応が欠如している」と主張したことが話題になったほか、(Oracleが直接の要因ではないが)AppleがJavaランタイムの配布を中止してOracleによる提供に切り替えたり、脆弱性対策としてJavaプラグインをデフォルトで無効化するといったこともあった。
そもそも (スコア:2)
多くの人にとってJavaプラグインなんていまだに必要なのか?
Re:そもそも (スコア:1)
の時だけ Chrome with Java
Re:そもそも (スコア:1)
ウチでこういったツール [proself.jp]を使っているんですが、フォルダ丸ごとアップロードなどJava Appletを呼び出す時にブラウザでロードされてますねぇ……無くても動いたような気もしますが。
このパッケージもTomcat使ってたりですし。多くの人ではないんですが、取引先様にも提供していたりするのでムニャムニャ。
Re:そもそも (スコア:1)
外国為替証拠金取引では、よく使われていると思います。
https://www.google.co.jp/search?q=FX+Java+-JavaFX [google.co.jp]
Re:そもそも (スコア:1)
LibreOfficeやOpenOffice.orgに(ほぼ)必須じゃなかったけ?
Re:そもそも (スコア:2, 参考になる)
昔は、OpenOffice.org インストーラーにJavaが含まれたバージョンと無しバージョンがあった気がする。
最近のLibreOffice は必要ないみたい。
アンインストールしても、普通に使えます。
Re: (スコア:0)
あ、こっちにツリーがあったのか。LibreOffice 3.6はJavaが入っていない状態で普通にインストールできた。
Re:そもそも (スコア:1)
使う機能によりますが、ほぼ不要だと思います。
Re: (スコア:0)
>多くの人にとってJavaプラグインなんていまだに必要なのか?
ブラウザのプラグインとしてはもう必要感じないのでこっち方面はセキュリティ関係でてこ入れしないならフェードアウトして欲しい感じ。
でもWebアプリ作ったりとか手頃なアプリ作成の意味でJVMが無くなるとすごく困る。
#scalaとclojure大好き
Re: (スコア:0)
電子入札コアシステム…。
Re: (スコア:0)
astah*(旧JUDE)を使うので、プラグインをインストールせずに済むのであればそうしたいです
Re: (スコア:0)
Astah*ダメだろアレ。モノは悪くないが、Javaが糞なせいで安定性がゴミすぎる。
素直にEnterprise Architect使った方が良いよ。
Re: (スコア:0)
最近のバージョンのJavaで試したことはないですが、
JREのファイル群を入手してきて、手動でパスを通せばいいと思いますよ。
Re: (スコア:0)
フレッツの速度測定だけで使う
Re: (スコア:0)
フリーで見える為替のリアルタイムチャートはJavaだったりする
Re: (スコア:0)
MyJVNバージョンチェッカ [jvndb.jvn.jp]のために、弊社では全端末へのインストールが義務付けられています。
Re: (スコア:0)
LibreOfficeもいつの間にかインストールにJavaを要求されなくなってるね。
7u11 (スコア:2)
7u11が出たようです。
http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html [oracle.com]
Re:7u11 (スコア:2)
アップデート内容の解説記事も
ゼロデイ脆弱性 (スコア:0)
ゼロデイ脆弱性って言葉はおかしくないか?
Re:ゼロデイ脆弱性 (スコア:2)
ゼロディは 「パッチリリース前に既に攻撃実証コードが示されており危険な(パッチリリースから実証コードが出てくるまでの日数を~dayとしてもはや猶予がない)」 という意味だからおかしくないんじゃないですかね
ところで、Java 7 の脆弱性のニュースで無効にするように言われてるけど、安定してる Java 6のアップデート版 を推奨バージョンに戻して、
提供延長した方がいいんじゃないかと思ったり…。
# うちのPCは全部 Java 6 Update 38 が入っています
Re:ゼロデイ脆弱性 (スコア:1)
ところで、Java 7 の脆弱性のニュースで無効にするように言われてるけど、安定してる Java 6のアップデート版 を推奨バージョンに戻して、
提供延長した方がいいんじゃないかと思ったり…。
# うちのPCは全部 Java 6 Update 38 が入っています
Mozillaは、6u38もブロックしました。
https://blog.mozilla.org/security/2013/01/11/protecting-users-against-... [mozilla.org]
Java 6は安全か (スコア:3)
http://krebsonsecurity.com/ [krebsonsecurity.com] に
NVD’s advisory is incorrect: CERT maintains that this vulnerability stems from a component that Oracle introduced with Java 7. Dormann points to a detailed technical analysis of the Java flaw by Adam Gowdiak of Security Explorations, a security research team that has alerted Java maker Oracle about a large number of flaws in Java.
とあるんで、Mozilla は NVD の勧告通りに無効にした。
でも、本当は、Java 7のコンポーネントによるものだから、 Java 7のすべてのバージョンが影響を受けるが正しいのではってことですね。
Re:ゼロデイ脆弱性 (スコア:2)
Re:ゼロデイ脆弱性 (スコア:1)
本来は「ゼロデイ攻撃が行われた脆弱性」なんでしょうけど
縮めて「ゼロデイ脆弱性」という表現も散見されますね
のれんに腕押し、hylomに日本語表現の指摘
Re:ゼロデイ脆弱性 (スコア:1)
zero-day vulnerabilityは英語記事でもそれなりに見かけるので(大抵は見出しにだけ使ってるが本文に使ってる例もある)、hylom氏や日本語に限った話でもないようです。
Re:ゼロデイ脆弱性 (スコア:1)
ゼロデイ攻撃がOKで,ゼロデイ脆弱性がNGって,なんだよそれ.
難しい事言う奴だな.
Re: (スコア:0)
パッチが提供されてない脆弱性という事で良いんじゃないの?
この機会に (スコア:0)
この機会に、アンインストールした。
複数仮想マシンを管理してると、毎月のアップデートの負担が半端じゃなくなってきた。
Windows updateのほかに、flashとアドビリーダーとブラウザのアップデートの管理でいいや。
Javaの自動アップデートがうまく機能しなくて、毎回、マニュアルでアップデートかけててうんざりしてた。