JVNによると、「Java のサンドボックスを回避され、任意の OS コマンドが実行可能な脆弱性が存在します」とのこと。細工されたJavaアプレットが埋め込まれたWebページを開くことで、任意のコマンドが実行される恐れがあるという。現時点で対策方法はなし。アップデートが提供されるまではWebブラウザのJavaプラグインは無効にしておいたほうが良さそうだ。
もちろんそんなわけありません。 「Although older Java is not vulnerable to this attack, downgrading is not recommended due to many other vulnerabilities in the older versions of Java.」
by
Anonymous Coward
on 2012年08月29日 7時59分
(#2220519)
商売上の理由で最新バージョンに移行して欲しいっぽいことはわかるんですが、Java 5以前は既にサポートが終了しているものの、Java 6は現時点で2013年2月まで [oracle.com]がサポート期間内なので、 "may other vulnerabilities in the older versions of Java" ではないはずです。
対策なし……だけど (スコア:5, 参考になる)
http://developers.slashdot.org/story/12/08/27/1658238/experts-develop-... [slashdot.org]
から辿れる
http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-info... [deependresearch.org]
には、「本当は Java を無効化するのがいいんだけど、どうしても無理ならパッチあげるよ」っていう感じの記事があります。
10月までパッチが出ないとなると、影響がどこまで大きくなるやら……。
Re:対策なし……だけど (スコア:1)
Re: (スコア:0, 参考になる)
JRE7に依存したアプレットが必要でなければ、「JRE6にダウングレードする」という手があるみたい。
Re: (スコア:0)
JRE6の方が安全なのかよwww
Re:対策なし……だけど (スコア:2, 参考になる)
もちろんそんなわけありません。
「Although older Java is not vulnerable to this attack, downgrading is not recommended due to many other vulnerabilities in the older versions of Java.」
Re:対策なし……だけど (スコア:3, 参考になる)
商売上の理由で最新バージョンに移行して欲しいっぽいことはわかるんですが、Java 5以前は既にサポートが終了しているものの、Java 6は現時点で2013年2月まで [oracle.com]がサポート期間内なので、 "may other vulnerabilities in the older versions of Java" ではないはずです。
Re:対策なし……だけど (スコア:1)
最新のJRE6はOracleのサポートも継続していてセキュリティベースライン以上のバージョンなら既知の公開された脆弱性は存在しないはずですが。少なくともゼロデイと実際の攻撃まで確認されているJRE7より危険なんてことはあり得ません。
MSが「IE6は危険だからさっさとバージョンアップしろ」と言ってるのと同じ決まり文句。
圧倒的じゃないか我が軍は (スコア:4, 興味深い)
http://itpro.nikkeibp.co.jp/article/COLUMN/20120817/416402/ [nikkeibp.co.jp]
見つかってるだけマシなのか、作りがザルなのか…
Re:圧倒的じゃないか我が軍は (スコア:3)
MyJVN [jvndb.jvn.jp] の利用で JRE が必要ってのがなんだかすごくモヤっとします。
Re: (スコア:0)
JRE6をインストールしていると「最新じゃない」と表示されてJRE7u6なら「最新」と表示されるという始末。
「最新なら安全」とは確かに一切言っていないが、もはや有害だろこれ
Re:圧倒的じゃないか我が軍は (スコア:1)
3年連続トップな上に、割合が38%→58%→84%って…
古いバージョンが使われてることが多いのも狙われる原因なんだろうな
Re:圧倒的じゃないか我が軍は (スコア:1)
WindowsのJavaUpdateはザル (スコア:1)
タスクトレイからアップデート通知をもらうんですが、一般ユーザだとUAC昇格認証後もエラーでアップデートできません。
仕方なく特権ユーザで再ログインして更新を行ってます。
で、アップデート作業後もアンインストール一覧画面に旧版のJREが残り続け、リストから削除もできないという有様で…。
Sun/Oracleは、まともなWindowsプラットフォーム対応はやる気ないんですかねぇ。。
こんなアップデートのためだけにプロセス常駐するんですけど、メモリのムダで馬鹿らしいので機能を殺しました。
一応はきちんと動いているFlashUpdateは立派です。
Re: (スコア:0)
最近のものでも発生しますか?
うちでは、
は、最近は起こりませんねぇ。
は経験ないです。
Re: (スコア:0)
これ見たときは笑った。Flashなんてカワイイもんじゃ
Re: (スコア:0)
なまじ何でもできるもんだから・・・
Appletが衰退したのも仕方ないのかもね
もう無理 (スコア:1)
>現時点で対策方法はなし。アップデートが提供されるまではWebブラウザのJavaプラグインは無効にしておいたほうが良さそうだ。
アプレット開発者(絶滅危惧種)とか、特定の業務用アプレットの使用を強要されでもしない限り、
Javaプラグイン無効化→JRE Updateを待つ→脆弱性修正を確認後、Javaプラグイン再有効化
なんてする人いないでしょ。
二度と再有効化しないか、最初から無効化しないか。
Javaアプレットが今後メインストリームに復活するなんて、元SUNの人でも考えてないだろうけど、
業務用とか、特定目的で使わざるを得ないケースもあると思うので、
負の資産と割り切って、ホワイトリストで運用しかないと思う。
Re:もう無理 (スコア:1)
Re:もう無理 (スコア:2)
それって一般人には無縁ですよね。
# 何のためにJRE入ってるんだろう...
Re:もう無理 (スコア:3, すばらしい洞察)
たしか、OpenOfficeってJRE要求しませんでしたっけ?
そんな感じで、ブラウザプラグインとしてではなく、
アプリの前提条件としてJREを要求することもあるわけで、
そういう場合だと、自分では『オフィスソフトをインストールしただけ』と思ってて、
JREとか意識してない可能性が高そうだから、より危険かもしれない。
Re:もう無理 (スコア:1)
プリインストールされてて放置されてたとか。
一般人がJava使うって言ったら回線のスピードテストとかですかね?
最近だとMinecraft(ブロック箱庭ゲー) [minecraft.net]がJavaを要求する [mojang.com]のでゲームの為に入れてる人も結構居る可能性が。
# 自分はRAIDカードのMegaRAID Storage ManagerがJava使ってたり、Androidアプリ開発でJDKやら、リモートコンソールのKVMがブラウザ+Java Plug-in要求するので入れてるマシンもある。
Re:もう無理 (スコア:2)
自分もAndroidのJDKだけ...
じゃあ、プリらないほうがいいかもですね。>PCメーカー/デストリブータ
Re: (スコア:0)
これからどんどんネイティブアプリは.NET、ブラウザアプリはHTML5への置き換えが進んでいくんでしょうねえ。
Re: (スコア:0)
ハード系の開発ツールは脱Windowsのためか、Javaで作ってマルチプラットフォーム化するのが今のはやり
Re: (スコア:0)
Javaアプレットが今後メインストリームに復活するなんて、元SUNの人でも考えてないだろうけど、
業務用とか、特定目的で使わざるを得ないケースもあると思うので、
負の資産と割り切って、ホワイトリストで運用しかないと思う。
そうなんだよねぇ……意外とブラウザからキックされるVPNに使われてるのは見たりする……
ので仕事用には使わざるをえなかったり……
# これ専用、ってことで用途専用のブラウザを作って対応してます
Re: (スコア:0)
何が駄目だったの?
Flash よりだいぶまともな技術だよな・・・。
Run anywhere じゃなかったからか?
Re:もう無理 (スコア:2, 興味深い)
クライアントサイド Java がダメになった理由/以下すべて想像:
(1) 起動が遅い
Web ページ上の動きのある広告は一瞬で表示されないと誰も見ないしストレスになる。
Java は起動がもっさり遅いので、目立ちたがりの広告に使われるのは Flash。
起動しきれば C/C++ に遜色ないくらい早いのにね。
(2) オーサリングツールがない
Flash なら Adobe Flash があるけど、Java だとただのデザイナに Eclipse 使えというわけにはいかない。
ブラウザゲームは Web デザイナがささっと手軽に作れる Flash を選ぶし、
本気の 3D ゲームは Java に API がないし、効率上の理由で Java を選ぶメリットが小さく、C/C++ になってしまう。
(3) 動画が非対応
標準で動画の再生が難しいので、動画サイトは軒並み Flash
(4) Write Once, Run anyware にこだわりすぎ
GUI まで API を統一したのはいいが、AWT で最小公倍数的な貧弱さに泣くか
Swing で重い&ダサい UI を味わうかの2択に。
(5) Lightweight language の流れに乗れなかった
Web デザイナもお馴染みの Javascript/ECMAScript に類似している ActionScript に対して、
昔気質の Java はあんまり好まれなかった。
自分は ActionScript より Java のほうがずっと好きだけど。LL (笑)
(6) どうしようもない第一印象
初期の Java は更に遅かったうえ、必要もないのにページに設置して喜ぶひとが多く、
「Java は遅い」「邪魔」「要らん」という印象が強く根付いてしまった。
(7) ライブラリが老朽化
互換性を重視する割にバージョンアップがかさむから、意外にライブラリがぐちゃぐちゃ。
Flash や .NET Framework のほうが整理されててつかいやすい。
異論は認める。
Re: (スコア:0)
追加で、アップデート時に頻繁に日本語入力できなくなるバグが再発する(笑)
Re: (スコア:0)
MSが独自仕様満載とは言えMS JVMをバンドルしてたのに
わざわざ外させてクソ面倒な事にしたのが一番の失敗のような…
多様性って大事だよね (スコア:0)
パンデミック危惧種のバナナでさえ5種類くらいあるのに
Re:多様性って大事だよね (スコア:2)
それを管理する手間、リスクをエンドユーザに押しつけるわけですか。
当時のMicrosoftはそうやってJavaの普及を阻止しようとしていたのでしょうけれど、結果的にアプレットとしては失敗したので万々歳といったところでしょうか。
コンパイラ言語であれば、多少の方言があっても、それによるメリットを享受するのも、手間がかかるのも基本的には開発者側だから許容できるけど、Javaのランタイムが複数のベンダーから提供されるのはさすがに勘弁して欲しい。
Re: (スコア:0)
J#とかそういう遺産もあることだしMS JVMとか作ってたのはむしろ、Javaを普及させて美味しいトコだけ食べたかったようにも見えますけどね。
SunJVMではなくMS JVMを作ってた理由は主導権を握ってより美味しく食べたかったか、SunからJVMをバンドルさせてもらえなかったと見たほうが良いようにも思えます。
というか一応は互換性があったのだし、後の訴訟含めてコケる所まで予想してMS JVMだのJ#だのに投資したなんてそれは穿ち過ぎだと思います。
Re: (スコア:0)
でも世界がIE6/Flashで統一されればよかったのにとかボヤいてるんでしょ。
Re: (スコア:0)
遅くて不安定というイメージが根付いてしまったからでは?
Flashのほうが速くてゲームもできる、みたいな。
Re: (スコア:0)
普通にsunの奴は一部のメーカー製PCにインストールされてましたよ
マイクロソフト製はsunからの告訴があり入れてはいけないことになりましたが
すごい妄想ですね
Re:もう無理 (スコア:2)
圧力であれば、屈するメーカーもそうでなメーカーもあるだろうし、Microsoftにとって重要なメーカーには圧力を掛けなかったかもしれず、例外はいくらでも考えられる。一部のメーカーのPCにインストールされてたからといって圧力がなかった証明にはならない。
もちろん、内部告発者でもいない限り、圧力があったことも立証できないが。
手順(?) (スコア:1)
使ってる全マシンの全ブラウザでOFFにしていくとかめんどくさい・・・なんでこう、執拗に全部に入れたんだ、過去の私。
あと「有効」と「無効」って小さな字だと見分けづらい。ずらっと並ばれるとちょいちょい見落とす。色を変えるとかなんかやっといて欲しかったな。
風呂釜の垢とり同様に (スコア:0)
ジャバなんて使ってないからアンストして良し。
もう (スコア:0)
元SunでOracle傘下に入ったプロダクトは碌なことが無いな。
もうさっさとプロジェクト丸ごと切り離してくれよ・・・
Re: (スコア:0)
もう、さんざんな目に
Macユーザは要注意 (スコア:0)
要注意っていうより、諦めろっていうか。
Appleのセキュリティ意識が低く、致命的なJavaの脆弱性を修正してくれないために大きな被害が出た件で、Oracleが最近になって、やっとAppleに任せずにOracle自らMac用の修正版も提供することになりました。
でも、対応しているのがLion以降。それより古いものには対応しません。
Appleも、Lionより古いもののサポートは辞めたんでしたっけ?
古いとはいっても、Lionが発売されたのが1年ちょっと前。それまで売られていたSnow Leopardより古いものは対応しないなんて、Macユーザも苦労しますね。
ちょっと古いOS、少々古い機種を使っているMacユーザはJavaの利用は諦めたほうが良さそうです。
Re:Macユーザは要注意 (スコア:1)
誤解が多すぎて指摘しきれないな.
AppleはJavaをLion以降プリインストールしないことにして,これまでのコードなどはOpenJDKに移管 [apple.com]している.
Snow LeopardにおけるJava6まではAppleが引き続きサポートを行い,Java7以降はOracleから入手することで利用するというのは上のリンクにある通り.
AppleによるJavaのセキュリティアップデートはどうしても本家よりも遅れる傾向にあったので,この方針変更はコミュニティではむしろ喜ばれた [javageek.org]経緯あり.
Re:Macユーザは要注意 (スコア:1)
どこが誤解なのかわかりません。
Appleのサポートは他のメーカーと異なり、正式な終了は発表しないみたいで、アップデートが止まっていたらサポートが終わっているのだろうと判断してるみたいですね。
その上で、過去の例から現行バージョンの1つ前までしかアップデートの対象としないと考えられてる。
つまり、Lion、Moutain Lionしかアップデートせず、Snow lepard以前はアップデートしないとみられている。
AppleはLion以降のJREはOracleに任せた。
Oracleも、Lion以降のサポートは請け負った。
さて、Snow Leopard以前のJavaのサポートは誰がやるの?
Appleがユーザのことを考慮して、これまでの態度と違って、サポートするのかもしれないですけど、公式見解みたいなのはありますか?
Lionが対応していない古い機種は実質上、完全に切り捨てられたと批判がありましたが。
Re: (スコア:0)
横から失礼。
> 誤解と言ってわからないなら嘘というべきかな?
あなたの発言の何処をどう読んでも
> Macユーザは要注意
> ちょっと古いOS、少々古い機種を使っているMacユーザはJavaの利用は諦めたほうが良さそうです。
ってのは変わらないよね?
このツリーの主題はまずそこにあります。
そこから目をそらしてAppleの努力を評価したところで、Appleが古い機種を買ったユーザを切り捨てて危険に晒しているのは変わりません。
それはさておき
> もちろん深刻な問題だったが,「大きな被害」が出たという報告は聞かない.
深刻な問題が発生した時点で、マトモなセキュリティ管理体制を敷いてる企業は対策作業のために被害を被ってます。
というか
Re: (スコア:0)
そもそもSnowLeopard以前はもうJavaに限らずセキュリティフィックスは出ない。
Appleにお布施を払い続ける気がないならMacの利用自体を諦めたほうがいいよマジで。
Firefox でJavaを無効にする方法って (スコア:0)
Re: (スコア:0)
FirefoxはJava 7をUpdate 6までblocklistに登録した [mozilla.org]そうなので、何もする必要はないはず。
> ActiveDirectory環境からどうにかして
あ、企業の環境でmozilla.orgへのアクセスをファイアウォールでブロックしてるならちょっと微妙だけど、blocklistのアクセス先を社内サーバーに向けられるような設定が何かあるんじゃないかな
Re: (スコア:0)
訂正。まだblocklistの配信は決定してないみたい
Re: (スコア:0)
そのへんGoogle Chromeは心得たもので、「きみの持っているJREはバージョンが古いから、このプラグインページは実行させてやらん」とエラーにします。
まさしくSun/Oracleを信用しない、ホワイトリスト運用ですね。他のブラウザでもそこまでやってくれればいいなぁ。
Re:Firefox でJavaを無効にする方法って (スコア:1)
グループポリシーエディタでコンピュータの構成・基本設定・Windowsの設定・ファイルから、右クリック・新規作成・ファイル
アクションを削除に設定
ファイルの削除の入力欄に
C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll
を入力してOKボタンをクリック
で、プラグインを使うブラウザからはJAVAが使用できなくなりました。