- 2013-01-15 (火) 11:09
- セキュリティ
米Oracle(オラクル)社製のプログラム言語「Java(ジャバ)」のセキュリティに問題があるとして、米国土安全保障省や日本のIPA(独立行政法人情報処理推進機構)セキュリティセンターおよび一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が運営する、脆弱性対策情報ポータルサイト「JVN」が「Java」を削除するか無効にする事を勧めています。
問題が指摘されているのは「Java 7 Update 10」のサンドボックス機能を回避して、任意のコードを実行されてしまう恐れがあるというもので、既に脆弱性を悪用した攻撃が観測されています。
現在はOracleが緊急アップデートをリリース 使用の場合は至急アップデートを
Mozilla Foundationは全プラットフォーム向けのFirefoxで、Javaの最近のバージョン(Java 7u9, 7u10, 6u37, 6u38)について「Click To Play」機能を有効にし、ユーザーがクリックしない限り、Javaプラグインがロードとマルウエアをダウンロードしないようにし、どうしてもJavaが必要なサイトではJavaプラグインを有効にすることもできるように対処しました。
AppleもMac OS Xのウイルス対策コンポーネント「XProtect」を更新し、Oracleがこの脆弱性を修正するまでの間、Java 7を無効にする措置を取ったとのことです。
Oracleは今回のセキュリティ脆弱性の件で、13日に緊急アップデートをリリース、今回のアップデートによりJavaがウェブアプリケーションとやり取りする方法を変更、JavaアプレットとWeb Startアプリケーションのデフォルトのセキュリティレベルを『中』から『高』に引き上げたことにより、未署名のアプリケーションを実行する前に必ずユーザーは警告を受けるようになり、ひそかに攻撃されることを防ぐとしています。
それで、やっぱり「Java」と「Javascript」を勘違いして、動画とか見られなくなっちゃった人がいるんたでしょうかねぇ。
今回のセキュリティの問題は「Java」であり、似ているけど「Javascript」は別物であり、今件には全く関係ありません。
それで、アップデートも発表されていない12日中にJavaを全て削除しました。
「J2SE」なんて懐かしいものもあったので、そちらも削除しましたけど、アップデートが出たのですね。
まぁ、将棋対戦もしないし、好きだけど将棋弱いし。
ともあれ、最近はJavaを使用しなくてはいけないケースの方が少なくなっていますし、いちいち対応が遅れるものを使い続ける必要もなくなっています。
関係ないですが、プログラム言語も記録媒体のように時代の流れの中で淘汰されていくのですね。
まだVHFは使うつもりだけども。
脆弱性対策情報ポータルサイト「JVN」
【JVNTA13-010A: Oracle Java 7 に脆弱性】
【【2ch】ニュー速クオリティ:【緊急】今すぐに『JAVA』をアンインストールしてください】
【朝日新聞デジタル:Java、外部から攻撃の恐れ 米の公的機関が警告 – テック&サイエンス】
【MozillaやApple、Javaの未解決の脆弱性に対処 Javaプラグインを無効に – ITmedia エンタープライズ】
【JVN、”Java 7″に未修正のゼロデイ脆弱性が存在することを公表 – 窓の杜】
【Javaのアップデートがリリース–脆弱性に対応 – CNET Japan】
【Oracle、Java 7 Update 11を公開 脆弱性に対処 – ITmedia ニュース】
Oracle
![]() |
新品価格 |
セキュリティ関連カテゴリー最新記事 5件
- 「mixi」と「はてな」で不正ログイン。パスワードと登録情報の確認呼びかけ - 2014年 2月 26日
- Twitter「パスワード、最低でも10文字、大文字と小文字、数字、記号など混ぜご利用下さい」 - 2013年 2月 2日
- 「Java」のセキュリティ脆弱性、最新版にも問題が発覚 不要な場合はJavaを無効に - 2013年 1月 17日
- ふっふっGoogle「2 段階認証プロセス」を設定した気になってサーヴァントのGoogleトークを忘れるとはさすがデス! - 2013年 1月 10日
- 厚労省サーバー感染、PC1万台ネット接続不能 - 2011年 12月 1日