Javaの脆弱性を利用した攻撃が激増、前四半期600万件超に 42
ストーリー by kazekiri
更新はこまめに 部門より
更新はこまめに 部門より
あるAnonymous Coward 曰く、
Microsoft Malware Protection Center (MMPC)の報告によると、Javaの脆弱性を利用した攻撃が急増しているらしい(ITmediaの記事、MMPCのブログ記事)。
検出されたJava経由での攻撃件数は、第2四半期に50万件以下であったものが、第3四半期には600万件超になっているとのこと。主に使われている三件の脆弱性はセキュリティアップデートにより修正済のものだが、MMPCによると更新に無頓着なユーザーが多いらしい。また、攻撃に使われるコードがバイナリコードであるために、この種の攻撃をIDS/IPSで防ぐのは難しいだろうとのことだ。
露骨なFUDだなー (スコア:2, すばらしい洞察)
グラフがJavaとPDFだけの積み上げとか、意図が見え見えだ。
Re: (スコア:0)
考えすぎじゃない?今更MSがJavaを攻撃する理由がないと思うけど。
もうそろそろ、MS==FUDって決め掛かるのは古い考えでは。
元記事にあるとおり、PDFもJavaもアップデート疎かにすんなって話でしょ。
Re: (スコア:0)
最近Google-Android-JavaやAdobe(Flash,Acrobat)と仲の悪いところ、すなわちAppleっぽい気もしますがどうでしょうか。
MacOSXにFlashやJava載せないなんて話も出てきたところですし。
# 元コメはMSなんて書いてませんしね。
どっちにしろアップデート怠るな、行儀の悪いプログラム書くなというところでしょうか。
危うく引っ掛かるところでした… (スコア:1)
ある日パソコンを使っていると、
突然「アップデートの準備ができました。」とか表示されて、
変なプログラムをインストロールされそうになりました。
危ない危ない。
-------- tear straight across --------
Re: (スコア:0)
Re: (スコア:0)
すべってるから。
.NETに関しては (スコア:0)
Re:.NETに関しては (スコア:2, 興味深い)
更新がWindowsUpdateで配信される上、ブラウザ上で見たら即攻撃コードが実行とは行かない(ClickOnceとかあるけど)点でしょう。
手元のPCの内数台で、RAID管理ツールとかiKVMがJAVA VMを要求するので入れてあるのですが、
1ヶ月ぶりぐらいに久々にデスクトップを眺めたらアップデート通知が来てました。
しかし、キャンセルしたら二度と出てこないという状態。
中途半端な自動更新システムの運用という点でかなり昔のFxのVer1.0Xを思い出しました・・・
手動アップデートするかぁ。
Re:.NETに関しては (スコア:1, 参考になる)
> ブラウザ上で見たら即攻撃コードが実行とは行かない(ClickOnceとかあるけど)
Windows Forms Control [csharphelp.com]ってご存じない?
ああそういやFirefoxがWindows Forms Control実行用のプラグイン(「Windows Presentation Foundation」)をブロックした [srad.jp]ってニュースは.NET Frameworkにブラウザ経由で攻撃可能な脆弱性が見つかった実例だったな。これもゼロデイ攻撃が実際に報告されたわけではなかったと思うけど。
Re:.NETに関しては (スコア:1)
なんてこった、脳内知識が完全に間違っていました。
XBAP [microsoft.com]の事ですよね?
Re:.NETに関しては (スコア:1)
#1846555の前半の指摘については、.NET 1.0からある技術。
ActiveXって要はCOMなわけで、.NET Frameworkの各クラスはCOM互換なわけで。さすがに一般化されているわけではないものの、Internet Explorer上でWinFormを表示できるように設計されています。適当にググって見つけた例 http://japan.internet.com/developer/20051220/25.html [internet.com]
すごくマイナーではあるものの、だからといって攻撃者が狙わないわけはない。それでもあまり話題にならないのは適切なサンドボックス上で動作しているからじゃないかな?
今試してみたけど、素のWindows Vistaでインターネットゾーンからでも実行できたし。
Re:.NETに関しては (スコア:1, 興味深い)
> 適切なサンドボックス上で動作しているからじゃないかな?
Javaアプレットもサンドボックス上で動作しています。Javaの脆弱性の大多数は(すべてではありませんが)サンドボックスの破れによるものです。
だからそういう脆弱性がほとんど報告されていないのはMSの実力? と。
Re: (スコア:0)
ActiveXなどの場合はアプレットを受け入れた時点でほぼノーガードになるのがユーザにも自明なので、脆弱性ではない的な。
# ローカルで動く.NETは完璧にJITされていて、デバッガでアタッチして動作を書き換えた後書き出しに失敗して初めて.NETだと気付くくらい普通のWin32プログラムでした。
Re:.NETに関しては (スコア:1)
ちょっと古めの Java アップデーターの場合の挙動はひどかったですよ。
結局サイトから最新版をダウンロードしてきて入れないと更新できませんでした。
その際アップデーターも更新されたのかその後は更新できるようになっていましたが、そのために必要な更新が適用できないんじゃ意味ないですよね。
Javaって必要? (スコア:0)
もちろんサーバーサイドじゃなくて、いわゆるJREのことだけど、Javaって使ってる?
しばらく前にJRE外したけど、何も困ってない。セキュリティアップデートに気を遣わないだけ楽になって良いことずくめなんだけど。
Javaがないと困るサイトって、有名どころである?
Re:Javaって必要? (スコア:2, すばらしい洞察)
eclipseとかOOoとかfreemindに釣られて入ってくるんですよね。
スペース・インベーダー (スコア:2, 興味深い)
このJavaApplet [123games.dk]はたまにプレイしたくなります。
なお、スペース・キーで開始です。
Re:Javaって必要? (スコア:1)
電子入札や電子申請とか?
手元で必要な物として、ArecaのRAIDカードのWeb管理コンソールのサーバーとしてとか、
Silicon ImageのRAID関連の管理コンソールとか、
ASUS HummingbirdのiKVMのWeb管理コンソールとか。
Webサイト以外で無いと困るんですよね・・・
Re:Javaって必要? (スコア:1, 参考になる)
Windowsだと、バージョンが上がるときにJavaから.NET Frameworkに変更されてるよ。
Re:Javaって必要? (スコア:1)
情報有難う御座います。
問題は、チップがSiI3114でオンボードなので、ツール上げようと思った場合、ドライバとBIOS更新が必要ですよね。
で、オンボード故にBIOS上げるのもM/BのBIOSを編集してmodBIOS作らないと上げられないという点がorz
他にも手持ちのSiI3124でPCI-E⇔PCI-X変換+ジャンパでBIOS切り替え可能という仕様 [lycom.com.tw]のがありまして
こいつは、BIOS書き換え不可な仕様みたいなので困り物で御座います。
多分フラッシュROMライタ買って焼くしかないんでしょうねぇ・・・
手元で一番手間が掛かってないのは玄人志向のSiI3132というorz
Re:Javaって必要? (スコア:1)
物によっては使用可能なJREやOSのバージョンを決め打ちで指定されるって話はよく聞きますが、そうするとJavaだからどうこう以前の状態になるのではないでしょうか。
アップデートも掛けられないので、「NATで守った上で該当サービス以外にアクセスしない」セキュリティーポリシーが必須だと思います。
# VMに環境を構築してHDDイメージを書き込み禁止にでもすれば一番使い勝手と安全性が維持できる・・・のだろうか
Re: (スコア:0)
>物によっては使用可能なJREやOSのバージョンを決め打ちで指定されるって話(以下略)
代表的なものとしてはJP1がまさにそうですね。
同じJP1シリーズの製品内で、JREの要求バージョンが違うだけじゃなくて、Webブラウザの種類やバージョンとの組合せとかも影響してくるあたりがなんとも救いようが無いですね。
製品ごとの違いを挙げるとこんな感じ。
・JRE1.4系のみでしか動作しないものがある。
・IE7専用のものがある。(IE6とIE8でアクセスすると、ブラウザをサポートしていないという警告文が表示される)
・Firefoxは大丈夫だけどIEだと操作や表示がおかしくなる。逆にIEは問題なくFirefoxで操作や表示がおかしくなる。
まあガワだけ変えたOEM製品なんてこんなものか。
Re: (スコア:0)
ゲームや株価グラフなどでアプレットで使っているところは稀に見かけますね。変わった製品だと、Java Appletのsshクライアントでsshのパスワード認証を行い、ネットワーク・ログオンを監視するものとか。Yahoo!ゲームも先月までは、Java Applet使っていました。
Java Appletはポリシーファイル(e.g. %HOMEPATH%\.java.policy)にアクセス許可を書いておくと、特定のAppletにファイルやプリンター、クリップボードなどのアクセスを許可できて色々と応用の聞くRIAを作れるはずですが、存在はともかく技術的な特性の認知度は低い気がします。
Re:Javaって必要? (スコア:1)
が要求されましたが、Javaを必要とする機能をを使用しない場合は
無くても動作するようなので、私はJavaはアンインストールしてし
まっています。
Re:Javaって必要? (スコア:1)
それらはLinuxやMacでもそれなりに動くのが嬉しいです。
中にはユーザーがJavaで書いた取引ロジックを実行できるような物もあり素敵。
Re:Javaって必要? (スコア:1, 参考になる)
F1のLive Timing。
あるとなしとじゃ大違い。
http://www.formula1.com/live_timing/ [formula1.com]
Re: (スコア:0)
V2C使ってるから必要。Jane Spyleはいろいろ論外だし。
Re: (スコア:0)
俺のPCでもOpenOffice以外Javaが必要なのってないな。。
開発言語って意味でも、Javaじゃなきゃ嫌だって案件も
非常に少ないし。。
一部分野を除いて、いらない子になった気がする。
Re: (スコア:0)
サーバーサイドだとやっぱりJavaだよ。
零細企業向け小規模案件だとPHPかもしれんけど。
そして日本は零細小規模会社以外だと糞SIerしかないというオチ。orz
Re: (スコア:0)
Android Debug Bridgeが動かないとか……… マジ無理です
# root化され、リカバリからROM、スプラッシュ、フォントまでまんべんなくカスタム化されたHT-03Aを使ってるのでAC
Re: (スコア:0)
adbはjavaなしにうごきますよ...
Re: (スコア:0)
KeepVidとかいくつかの動画ダウンロードサイトは動画共有サイトからダウンロードリンクを探すのにJavaアプレットを使ってる。
Re: (スコア:0)
win,linux,mac全部とおして動く道具を作ることが要件なのが多いので他に選択しないです
3倍開発コスト(そこまでいかないとは思いたいけど)かけていいなら別なんだけどな
Re: (スコア:0)
つ[Qt]
Re: (スコア:0)
B2 [isotonix.jp]のブロック崩しでよく使ってます。
#何のブロック崩しかって?ACAC
アップデート以前に (スコア:0)
そもそもPCに入ってるのかどうかもわからない…
どうやって確かめるんだろう
Re:アップデート以前に (スコア:2, 参考になる)
通常はコントロールパネルにアイコンがあったり、プログラムの
追加と削除の項目に名前があったりするのである程度の判別は可能
です。
が、古いバージョンのファイルが残ったままになっていることも
あるので、消したい場合はSlashdot.jpのトップページ右下にある
「SF.JP Magazine: ソフトウェア紹介」の項目に載っている
PCに残ったJavaランタイムの残骸を除去する「JavaRa」 [osdn.jp]
を使用するという方法もあるかと思います。ただ、私は上記ソフト
は試しに一度使ってみただけで詳しくないため、どなたか詳しいか
たの情報を希望。
なお、地方公共団体等の電子入札では特定バージョンのJavaが要
求されたりする場合があるようなので、そういった用途に使ってい
るパソコンの場合は不用意にJavaの入れ替えや削除をしない方が安
全です。
Re:アップデート以前に (スコア:1)
symantecが、ウィルス対策ソフトでやってくれてます。
Symantec Endpoint Protection の管理コンソールが特定バージョンでないと起動しません。
notice : I ignore an anonymous contribution.
Re: (スコア:0)
Java Web Start使う方の旧管理コンソールについても最新版のJRE6U22で問題なく動作しています。
Re:アップデート以前に (スコア:1)
みつけられないのですが……(Symantec Endpoint Protection 11.0 のRU6はありました)
notice : I ignore an anonymous contribution.
Re: (スコア:0)
中身はたぶんほとんど同じものでしょうから、そのうちSEP SBEの方にもWeb管理コンソールが実装されるんじゃないですかね。