パスワードを忘れた? アカウント作成
7081018 story
Java

Oracle、Java SE 7u11を公開 33

ストーリー by headless
公開 部門より
Oracleは13日(現地時間)、Java SE 7u11を公開した。Java SE 7u10で発見された深刻なゼロデイ脆弱性(CVE-2013-0422)が修正されており、OracleではすべてのJava SE 7ユーザーに対して更新を呼び掛けている( Java SE downloadsリリースノートITmediaの記事本家/.)。

この脆弱性は実証コードのほかランサムウェアの配布にも使われており、米国の国家安全保障省など政府機関もプラグインの無効化やJavaのアンインストールを呼びかける事態となっていた。なお、8月に報告された脆弱性をOracleが正しく修正していれば、今回のゼロデイコードは機能しなかったとも報じられている(The Next Webの記事本家/.記事2)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by auge (19016) on 2013年01月14日 16時40分 (#2305631)

    http://www.itmedia.co.jp/news/articles/1301/14/news012.html [itmedia.co.jp]

    リリースノートによると、2つの脆弱性に対処した他、Javaコントロールパネルでの
    セキュリティレベルの初期設定を「中(M)(推奨)」から「高(H)」に変更した。
    これにより、ユーザーが無署名のJavaアプレットなどを起動しようとすると、必ず警告が表示されるようになる。

  • by Anonymous Coward on 2013年01月14日 17時05分 (#2305646)

    この脆弱性を利用したコードが、ランサムウェア(ransomware; 身代金要求型マルウェア) を送り込むために使われるのだから、ペイロードはランサムウェアの方じゃないか?

  • さすがは脆弱性の塊 (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2013年01月14日 17時56分 (#2305674)

    こういう脆弱性報告を見る度にJavaはオワコンだと痛感する

    Javaが登場した当初から、WORAなんて全然全くこれっぽっちも信じていなかったけど
    JVMの脆弱性だけは、毎回毎回WORAを体現しているのが皮肉というか何というか・・・・・・・・・・

    # Flashの脆弱性みたいに切れば良いとか、OSやブラウザの脆弱性みたいに汎用性は高いけど環境は限定的とか
    # そういう次元の話じゃないJavaの脆弱性は、汎用性ありすぎる上にあらゆる環境で猛威を奮って手がつけられない
    # 脆弱性だけは常にWORAとか・・・・・・・・・・・・・どんな嫌がらせ?

    • 使われないソフトが、最もバグレポートが少ない。ってやつだな。

      よく考えてものを言おうな。

    • by Anonymous Coward

      Java Appletがオワコンだということに異論はないです(オマケでJava Web Startも)。

      しかしサーバーサイドの実行環境としてのJavaまで否定するのは暴論だと思います。

  • by Anonymous Coward on 2013年01月15日 5時41分 (#2305919)

    前から疑問なのは、JREには何で自動アップデート機構がないんだろう? あるのは通知機能だけで、結局ユーザーが管理(アップデート)しないといけない。エンドユーザー向けなんだから、ほったらかしでも最新にするのが当然だと思うんだけど。

    が、よく考えると、自動アップデートがあるのはFlash Playerぐらい。Adobe Readerも通知機能だけでアップデート作業は結局手動でしないといけない。

    いくら修正版がリリースされても、入れなければ意味がない。自動アップデートなんて、真っ先に実装すべき機能だと思うのだけど。

    こうしてみると、Windows Updateって、当たり前だけどほんとにすばらしい機能だと思う。

    • by Anonymous Coward

      Adobe Readerは設定変更でサイレントアップデート可能になりませんでしたっけ?
       編集→機能設定→アップデーター→自動的にアップデートをインストールする
      確か既定値にはなっていなかったような気もしますが、機能的にはずいぶん前から有りました。

      Flashの自動更新だとダウンロードサイト開いて余計なの(McAFee Security Scanとか)何度も突っ込ませようとするのがちょっと残念。

      Oracle JREのインストーラはWindows Installerということで、企業ユースとかだとActiveDirectoryでグループポリシー管理してる場合はいいんですけど、そう言うのと無縁な個人使用

  • by Anonymous Coward on 2013年01月15日 9時49分 (#2305959)

    Java still contains security flaws, experts claim
    http://www.bbc.co.uk/news/technology-21011669 [bbc.co.uk]

  • by Anonymous Coward on 2013年01月15日 13時50分 (#2306117)

    何度も指摘されていると思うのですが「ゼロデイ脆弱性」という表現はおかしくないですか?

    • by Anonymous Coward

      何度も言われてると思うけど諦めて自分の脳で補完した方が手っ取り早いんじゃないかな。
      別の意味がすでにあるってこともなさそうだし。

typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...