パスワードを忘れた? アカウント作成
266863 story
セキュリティ

Javaの脆弱性を利用した攻撃が激増、前四半期600万件超に 42

ストーリー by kazekiri
更新はこまめに 部門より

あるAnonymous Coward 曰く、

Microsoft Malware Protection Center (MMPC)の報告によると、Javaの脆弱性を利用した攻撃が急増しているらしい(ITmediaの記事MMPCのブログ記事)。

検出されたJava経由での攻撃件数は、第2四半期に50万件以下であったものが、第3四半期には600万件超になっているとのこと。主に使われている三件の脆弱性はセキュリティアップデートにより修正済のものだが、MMPCによると更新に無頓着なユーザーが多いらしい。また、攻撃に使われるコードがバイナリコードであるために、この種の攻撃をIDS/IPSで防ぐのは難しいだろうとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 露骨なFUDだなー (スコア:2, すばらしい洞察)

    by tarosuke (2403) <webmaster@tarosuke.net> on 2010年10月24日 14時37分 (#1846548) 日記

    グラフがJavaとPDFだけの積み上げとか、意図が見え見えだ。

    • by Anonymous Coward

      考えすぎじゃない?今更MSがJavaを攻撃する理由がないと思うけど。
      もうそろそろ、MS==FUDって決め掛かるのは古い考えでは。
      元記事にあるとおり、PDFもJavaもアップデート疎かにすんなって話でしょ。

      • by Anonymous Coward

        最近Google-Android-JavaやAdobe(Flash,Acrobat)と仲の悪いところ、すなわちAppleっぽい気もしますがどうでしょうか。
        MacOSXにFlashやJava載せないなんて話も出てきたところですし。

        # 元コメはMSなんて書いてませんしね。

        どっちにしろアップデート怠るな、行儀の悪いプログラム書くなというところでしょうか。

  • ある日パソコンを使っていると、
    突然「アップデートの準備ができました。」とか表示されて、
    変なプログラムをインストロールされそうになりました。
    危ない危ない。

    --
    -------- tear straight across --------
    • by Anonymous Coward
      なんでこれにおもおかつけないの?
  • by Anonymous Coward on 2010年10月24日 13時22分 (#1846522)
    脆弱性をついた攻撃が流行中、というたぐいのニュースを聞いたことがないんですけど、これが互換性の軛を逃れたMicrosoftの実力なんでしょうか。それとも単にほとんど(クライアント側では)使われていないから誰も狙ってないだけなんでしょうか。
    • by kei100 (5854) on 2010年10月24日 14時39分 (#1846550)

      更新がWindowsUpdateで配信される上、ブラウザ上で見たら即攻撃コードが実行とは行かない(ClickOnceとかあるけど)点でしょう。

      手元のPCの内数台で、RAID管理ツールとかiKVMがJAVA VMを要求するので入れてあるのですが、
      1ヶ月ぶりぐらいに久々にデスクトップを眺めたらアップデート通知が来てました。
      しかし、キャンセルしたら二度と出てこないという状態。
      中途半端な自動更新システムの運用という点でかなり昔のFxのVer1.0Xを思い出しました・・・

      手動アップデートするかぁ。

      親コメント
      • Re:.NETに関しては (スコア:1, 参考になる)

        by Anonymous Coward on 2010年10月24日 14時50分 (#1846555)

        > ブラウザ上で見たら即攻撃コードが実行とは行かない(ClickOnceとかあるけど)
        Windows Forms Control [csharphelp.com]ってご存じない?
        ああそういやFirefoxがWindows Forms Control実行用のプラグイン(「Windows Presentation Foundation」)をブロックした [srad.jp]ってニュースは.NET Frameworkにブラウザ経由で攻撃可能な脆弱性が見つかった実例だったな。これもゼロデイ攻撃が実際に報告されたわけではなかったと思うけど。

        親コメント
        • by kei100 (5854) on 2010年10月24日 15時10分 (#1846566)

          なんてこった、脳内知識が完全に間違っていました。
          XBAP [microsoft.com]の事ですよね?

          親コメント
          • by Tsann (15931) on 2010年10月24日 17時40分 (#1846629)

            #1846555の前半の指摘については、.NET 1.0からある技術。

            ActiveXって要はCOMなわけで、.NET Frameworkの各クラスはCOM互換なわけで。さすがに一般化されているわけではないものの、Internet Explorer上でWinFormを表示できるように設計されています。適当にググって見つけた例 http://japan.internet.com/developer/20051220/25.html [internet.com]

            すごくマイナーではあるものの、だからといって攻撃者が狙わないわけはない。それでもあまり話題にならないのは適切なサンドボックス上で動作しているからじゃないかな?
            今試してみたけど、素のWindows Vistaでインターネットゾーンからでも実行できたし。

            親コメント
            • by Anonymous Coward on 2010年10月24日 20時56分 (#1846703)

              > 適切なサンドボックス上で動作しているからじゃないかな?
              Javaアプレットもサンドボックス上で動作しています。Javaの脆弱性の大多数は(すべてではありませんが)サンドボックスの破れによるものです。
              だからそういう脆弱性がほとんど報告されていないのはMSの実力? と。

              親コメント
            • by Anonymous Coward
              ActiveXと同格なら、未知の(バイト|ネイティブ)コードを受け入れる前に問い合わせがくるのでそこで弾けるってだけではないでしょうか。
              ActiveXなどの場合はアプレットを受け入れた時点でほぼノーガードになるのがユーザにも自明なので、脆弱性ではない的な。

              # ローカルで動く.NETは完璧にJITされていて、デバッガでアタッチして動作を書き換えた後書き出しに失敗して初めて.NETだと気付くくらい普通のWin32プログラムでした。
      • by Stealth (5277) on 2010年10月28日 20時18分 (#1849280)

        ちょっと古めの Java アップデーターの場合の挙動はひどかったですよ。

        1. 通知トレイに更新がある旨の通知が表示される
        2. 更新を適用しようとする
        3. 昇格する (別ユーザーの ID/pass を入力)
        4. 常に更新に失敗する
        5. 再ログオン時にまた通知

        結局サイトから最新版をダウンロードしてきて入れないと更新できませんでした。
        その際アップデーターも更新されたのかその後は更新できるようになっていましたが、そのために必要な更新が適用できないんじゃ意味ないですよね。

        親コメント
  • by Anonymous Coward on 2010年10月24日 14時14分 (#1846542)

    もちろんサーバーサイドじゃなくて、いわゆるJREのことだけど、Javaって使ってる?

    しばらく前にJRE外したけど、何も困ってない。セキュリティアップデートに気を遣わないだけ楽になって良いことずくめなんだけど。

    Javaがないと困るサイトって、有名どころである?

    • Re:Javaって必要? (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2010年10月24日 15時01分 (#1846558)

      eclipseとかOOoとかfreemindに釣られて入ってくるんですよね。

      親コメント
    • このJavaApplet [123games.dk]はたまにプレイしたくなります。
      なお、スペース・キーで開始です。

      親コメント
    • by kei100 (5854) on 2010年10月24日 15時29分 (#1846575)

      電子入札や電子申請とか?

      手元で必要な物として、ArecaのRAIDカードのWeb管理コンソールのサーバーとしてとか、
      Silicon ImageのRAID関連の管理コンソールとか、
      ASUS HummingbirdのiKVMのWeb管理コンソールとか。
      Webサイト以外で無いと困るんですよね・・・

      親コメント
      • Re:Javaって必要? (スコア:1, 参考になる)

        by Anonymous Coward on 2010年10月24日 16時15分 (#1846590)
        > Silicon ImageのRAID関連の管理コンソールとか

        Windowsだと、バージョンが上がるときにJavaから.NET Frameworkに変更されてるよ。
        親コメント
        • by kei100 (5854) on 2010年10月24日 17時55分 (#1846642)

          情報有難う御座います。
          問題は、チップがSiI3114でオンボードなので、ツール上げようと思った場合、ドライバとBIOS更新が必要ですよね。
          で、オンボード故にBIOS上げるのもM/BのBIOSを編集してmodBIOS作らないと上げられないという点がorz

          他にも手持ちのSiI3124でPCI-E⇔PCI-X変換+ジャンパでBIOS切り替え可能という仕様 [lycom.com.tw]のがありまして
          こいつは、BIOS書き換え不可な仕様みたいなので困り物で御座います。
          多分フラッシュROMライタ買って焼くしかないんでしょうねぇ・・・

          手元で一番手間が掛かってないのは玄人志向のSiI3132というorz

          親コメント
      • by fs0x7f (39059) on 2010年10月24日 23時09分 (#1846769) 日記
        >電子入札や電子申請とか?
        物によっては使用可能なJREやOSのバージョンを決め打ちで指定されるって話はよく聞きますが、そうするとJavaだからどうこう以前の状態になるのではないでしょうか。
        アップデートも掛けられないので、「NATで守った上で該当サービス以外にアクセスしない」セキュリティーポリシーが必須だと思います。
        # VMに環境を構築してHDDイメージを書き込み禁止にでもすれば一番使い勝手と安全性が維持できる・・・のだろうか
        親コメント
        • by Anonymous Coward

          >物によっては使用可能なJREやOSのバージョンを決め打ちで指定されるって話(以下略)
          代表的なものとしてはJP1がまさにそうですね。
          同じJP1シリーズの製品内で、JREの要求バージョンが違うだけじゃなくて、Webブラウザの種類やバージョンとの組合せとかも影響してくるあたりがなんとも救いようが無いですね。

          製品ごとの違いを挙げるとこんな感じ。
          ・JRE1.4系のみでしか動作しないものがある。
          ・IE7専用のものがある。(IE6とIE8でアクセスすると、ブラウザをサポートしていないという警告文が表示される)
          ・Firefoxは大丈夫だけどIEだと操作や表示がおかしくなる。逆にIEは問題なくFirefoxで操作や表示がおかしくなる。

          まあガワだけ変えたOEM製品なんてこんなものか。

      • ゲームや株価グラフなどでアプレットで使っているところは稀に見かけますね。変わった製品だと、Java Appletのsshクライアントでsshのパスワード認証を行い、ネットワーク・ログオンを監視するものとか。Yahoo!ゲームも先月までは、Java Applet使っていました。
        Java Appletはポリシーファイル(e.g. %HOMEPATH%\.java.policy)にアクセス許可を書いておくと、特定のAppletにファイルやプリンター、クリップボードなどのアクセスを許可できて色々と応用の聞くRIAを作れるはずですが、存在はともかく技術的な特性の認知度は低い気がします。

    • by Mistbow (12027) on 2010年10月24日 17時22分 (#1846619)
       OOoやウォークマンで使用する「x-アプリ」でJavaのインストール
      が要求されましたが、Javaを必要とする機能をを使用しない場合は
      無くても動作するようなので、私はJavaはアンインストールしてし
      まっています。
      親コメント
    • 最近FXでの投資に興味があり少し調べてみたら、Javaで作成された取引端末が結構ありました。
      それらはLinuxやMacでもそれなりに動くのが嬉しいです。
      中にはユーザーがJavaで書いた取引ロジックを実行できるような物もあり素敵。
      親コメント
    • Re:Javaって必要? (スコア:1, 参考になる)

      by Anonymous Coward on 2010年10月25日 12時55分 (#1847003)

      F1のLive Timing。
      あるとなしとじゃ大違い。
      http://www.formula1.com/live_timing/ [formula1.com]

      親コメント
    • by Anonymous Coward

      V2C使ってるから必要。Jane Spyleはいろいろ論外だし。

    • by Anonymous Coward

      俺のPCでもOpenOffice以外Javaが必要なのってないな。。
      開発言語って意味でも、Javaじゃなきゃ嫌だって案件も
      非常に少ないし。。
      一部分野を除いて、いらない子になった気がする。

      • by Anonymous Coward

        サーバーサイドだとやっぱりJavaだよ。

        零細企業向け小規模案件だとPHPかもしれんけど。
        そして日本は零細小規模会社以外だと糞SIerしかないというオチ。orz

    • by Anonymous Coward
      うちではAndroidの携帯電話を使ってる都合上、Java無しでは生きて行けないな
      Android Debug Bridgeが動かないとか……… マジ無理です

      # root化され、リカバリからROM、スプラッシュ、フォントまでまんべんなくカスタム化されたHT-03Aを使ってるのでAC
      • by Anonymous Coward

        adbはjavaなしにうごきますよ...

    • by Anonymous Coward

      KeepVidとかいくつかの動画ダウンロードサイトは動画共有サイトからダウンロードリンクを探すのにJavaアプレットを使ってる。

    • by Anonymous Coward
      無いと困る環境になってます
      win,linux,mac全部とおして動く道具を作ることが要件なのが多いので他に選択しないです
      3倍開発コスト(そこまでいかないとは思いたいけど)かけていいなら別なんだけどな
      • by Anonymous Coward
        >win,linux,mac全部とおして動く道具を作ることが要件なのが多いので他に選択しないです

        つ[Qt]
    • by Anonymous Coward

      B2 [isotonix.jp]のブロック崩しでよく使ってます。

      #何のブロック崩しかって?ACAC

  • by Anonymous Coward on 2010年10月24日 14時55分 (#1846556)

    そもそもPCに入ってるのかどうかもわからない…
    どうやって確かめるんだろう

    • by Mistbow (12027) on 2010年10月24日 17時09分 (#1846611)

       通常はコントロールパネルにアイコンがあったり、プログラムの
      追加と削除の項目に名前があったりするのである程度の判別は可能
      です。
       が、古いバージョンのファイルが残ったままになっていることも
      あるので、消したい場合はSlashdot.jpのトップページ右下にある
      「SF.JP Magazine: ソフトウェア紹介」の項目に載っている

      PCに残ったJavaランタイムの残骸を除去する「JavaRa」 [osdn.jp]

      を使用するという方法もあるかと思います。ただ、私は上記ソフト
      は試しに一度使ってみただけで詳しくないため、どなたか詳しいか
      たの情報を希望。

       なお、地方公共団体等の電子入札では特定バージョンのJavaが要
      求されたりする場合があるようなので、そういった用途に使ってい
      るパソコンの場合は不用意にJavaの入れ替えや削除をしない方が安
      全です。

      親コメント
      • by Dobon (7495) on 2010年10月24日 19時42分 (#1846679) 日記
        >特定バージョンのJavaが要求されたりする場合があるようなので
        symantecが、ウィルス対策ソフトでやってくれてます。
        Symantec Endpoint Protection の管理コンソールが特定バージョンでないと起動しません。
        --
        notice : I ignore an anonymous contribution.
        親コメント
        • by Anonymous Coward
          Symantec Endpoint ProtectionならRU6でJRE不要、Webブラウザのみで利用可能な管理コンソールが使えるようになりましたよ。
          Java Web Start使う方の旧管理コンソールについても最新版のJRE6U22で問題なく動作しています。
          • by Dobon (7495) on 2010年10月27日 18時16分 (#1848483) 日記
            Symantec Endpoint Protection 12.0 に RU6って出てましたっけ?
            みつけられないのですが……(Symantec Endpoint Protection 11.0 のRU6はありました)
            --
            notice : I ignore an anonymous contribution.
            親コメント
            • by Anonymous Coward
              Symantec Endpoint ProtectionとSymantec Endpoint Protection Small Business Editionは別製品ですよ。
              中身はたぶんほとんど同じものでしょうから、そのうちSEP SBEの方にもWeb管理コンソールが実装されるんじゃないですかね。
typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...