Java Pluginに脆弱性 57
ストーリー by yoosee
油断は禁物 部門より
油断は禁物 部門より
masayang 曰く、 "The Registerの記事によりますと、Sunの提供しているJava Pluginには脆弱性があるそうです(参考: ITMediaの記事)。記事に引用されている脆弱性の説明によると、この脆弱性を突くことで、例えばJavaセキュリティマネージャの動作を止めてしまうappletを作る事も可能だそうです。ということは、その後はappletで好き勝手なことができてしまう、ということになります。
この脆弱性はOSやブラウザの種類を問わずに存在するということなので、Windowsな人もLinuxな人もIEな人もMozillaな人も、皆さん注意しましょう。"
対策 (スコア:3, 参考になる)
- 1.4.2_06 に する
- 1.5 にする
だそう [itmedia.co.jp]です。
# 1.6 early accessにするという選択肢もあり・・・
Re:対策 (スコア:2, すばらしい洞察)
と言う選択肢も
Re:しかし (スコア:0)
理由も無くインストールしたとしたら、
他のスパイウェアも気軽に入れてそうな予感。
Re:対策 (スコア:1)
Re:対策 (スコア:2, 参考になる)
Re:対策 (スコア:1)
ですね。Terminalで「java -version」でも確認できます。
Re:対策 (スコア:0)
Re:対策 (スコア:2, 参考になる)
ですから差し支えないのではないかと(^^;
Re:対策 (スコア:0)
Re:対策 (スコア:1)
# 投稿ボタン押した後、抜けてたなぁと思ったけど
# まぁ自分で突っ込んでも寂しいし、誰か突っ込んでくれると思ってほっときました
# みなさんありがとー
Re:対策 (スコア:0)
1.4の次は5.0なんです・・
Re:対策 (スコア:0)
そう仰る方々のサポートをしなければならないのでAC
1.5.xは内部バージョンなので可 (スコア:0)
マイナーバージョンアップしても5.0の儘? [srad.jp]にある様に
外部バージョンが5.0で内部バージョンが1.5.0だそうなので「1.5」で何ら問題なしだと思われます。
Re:1.5.xは内部バージョンなので可 (スコア:1, すばらしい洞察)
内部バージョンで呼んでも問題なしなんてにわかには信じがたいんだけど…。
Re:1.5.xは内部バージョンなので可 (スコア:1, すばらしい洞察)
正確に把握するために内部バージョンを伝えて貰っていたような。
今回の場合、脆弱性対策がされているバージョンに関する話で、
このような厳密にバージョンを指定する必要のある場合は
むしろ内部バージョンで示すものだと思いますが。
Re:1.5.xは内部バージョンなので可 (スコア:0)
Windowsは4.9*迄なので5.1等無い。因みに、WinXPはWindows NT5.1である。
つか、セキュリティーホールとかの技術的な話しようとするならBuild#とか迄扱うのがデフォだと思うぞ?
#後、此処はアレゲな輩の集う
Re:1.5.xは内部バージョンなので可 (スコア:0)
Re:1.5.xは内部バージョンなので可 (スコア:0)
console から ver を実行しても
> Microsoft Windows XP [Version 5.1.2600]
とでるだけだが、どこで NT と表示されるのだろう?
電話で説明できる程度に整理しておきたいのでよかったら教えてくれ。
Re:1.5.xは内部バージョンなので可 (スコア:1)
Re:1.5.xは内部バージョンなので可 (スコア:0)
変更していないのでは?
winver.exeよりもIEのリファラを信じろというのは
おかしいです。
Re:1.5.xは内部バージョンなので可 (スコア:0)
Re:1.5.xは内部バージョンなので可 (スコア:0)
ここには、3.1から95に飛んだとか、98から2000に飛んだとか言い出す「初心者」がいっぱいなんですが。
アナウンス具合が足りてない気がする。 (スコア:1)
IEやFireFoxのバグみたいにあまり騒がれた感じがしません。
今は良くてもそのうち出るんでしょうかねぇ?
# アップデート済みだったのでID
Re:アナウンス具合が足りてない気がする。 (スコア:1)
なかったのでこのままスルーかなと思っていたんですが……
というどうでもいい話だけだとアレなのでWindowsでの
アップデート方法について。コントロールパネルの
Java Plug-inからボタン一発でアップデートできますね。
Re:アナウンス具合が足りてない気がする。 (スコア:5, 興味深い)
これ、1.4.2_06取ってきてくれます?
ウチは今1.4.2_05なんですが、「今すぐアップデート」ボタン押しても
「このシステムはすでに最新の Java(TM) プラットフォームになっています」
って出てしまいます。うーん。
結局SunからManualDownload [java.com]しましたけど。
ここのバージョン自動判別付きのDLページ [sun.com]でも「最新!」って言われるんだよなぁ・・・・
Re:アナウンス具合が足りてない気がする。 (スコア:0)
あるような手順では最新版になりませんでした。
Re:アナウンス具合が足りてない気がする。 (スコア:1)
会社のは割と古めのバージョンで、できたんですけどね。
Re:アナウンス具合が足りてない気がする。 (スコア:1)
新たにSUNのサイトからダウンロードしてきた1.4.2_06をインストール
すればOKでした。
Re:アナウンス具合が足りてない気がする。 (スコア:1)
アナウンス具合が足りないというよりも WindowsやFirefoxの不具合で無いからじゃないかな。 皆の関心を引きにくいってことです。 入れてるのかどうかも知らないソフトウェアに不具合があろうが 知ったこっちゃないよってことでしょうね。
下のほうでどなたかがWindowsでのUpdateに触れられてたけれど、補足。 コントロールパネル→関連項目・その他のオプションをクリックしないとJava Plug-inが出てこないこともあるようで。
Re:アナウンス具合が足りてない気がする。 (スコア:0)
携帯電話 (スコア:1, 興味深い)
Re:携帯電話 (スコア:2, 参考になる)
携帯のJavaAppletは一般によく聞くJava(J2SE)のサブセットであるJ2MEをベースとし、
「Configuration」「Profile」で拡張して構成されています。
その拡張の一つであるCLDCはプリミティブ型に浮動小数点型がないほどJavaVMが動く必要最低限の機能しか含まれないため、例えセキュリティーを破られて不正にアクセスできる状態になったとしても、アクセスされて困るようなクラスがありません。
#それに携帯はJavaScriptでAppletを埋め込めないですし
#あとCLDCには例外クラスAccessControlExceptionは含まれません
#でも他のプロファイル・コンフィグレーションはどのようになっているのかわからないです
Re:携帯電話 (スコア:2, 興味深い)
実際にSunのCLDC実装にはネイティブコードを実行できる脆弱性が報告されているわけだから。
Re:携帯電話 (スコア:2, 興味深い)
次の(さらに次かも) CLDC でも finalize も入るという話ですし。
ただでさえプラットフォーム間の互換性が乏しい Java なのに、Sun は、どんどんマイナーチェンジ版を増やして非互換をすすめてますからねぇ。
Java のポリシーはどこに消えたんだか。
Re:携帯電話 (スコア:3, すばらしい洞察)
Write once, test everywhere.
Re:携帯電話 (スコア:1)
Exploited once, re-test everywhere.
Re:携帯電話 (スコア:1)
Re:そのうち (スコア:0)
Re:そのうち (スコア:0)
Re:どこに消えた (スコア:0)
半分はティーカップの湯気と一緒に気化して、
もう半分は冷めたティーカップの下に沈殿しました。
#チーズはどこに消えた?ってあったねえ…
Re:携帯電話 (スコア:0)
CLDC1.1を採用した携帯が日本であんまり聞かないんですが・・
その辺り採用はありそうなんでしょうか?今後普及してどんな
携帯でも受動小数点が使えるようになりそうなんでしょうか?
仕事絡みで最近調べ始めたばかりなので勘違いならすみません。
Re:携帯電話 (スコア:1, 参考になる)
Re:携帯電話 (スコア:0)
てことはDocomoに限っては今後不動小数点が扱える方に
移行して行きそうですね。
どうも有難うございます
Re:携帯電話 (スコア:0)
そうなの? (スコア:0)
結局java搭載機種を狙われていた模様なんだけど・・・・
ただら今後 日本で発売される携帯電話は
アンチウイルスが搭載されるようになった
っと思ってたんだけど。
だれか詳しい人教えてください
Re:そうなの? (スコア:1)
をダウンロードして実行できるのでそこを狙ったウィルスだと思います。
Re:携帯電話 (スコア:1)
Re:携帯電話 (スコア:0)
Re:携帯電話 (スコア:0)
(少なくとも日本の)携帯電話に搭載されているJAVAって、
たいてい Sun が作ったものじゃないので、
ひょっとすると大丈夫、かも。
# 確証は無いですがー
Blackdown (スコア:1, 参考になる)
1.3系は大丈夫なのか??