Oracle、Java SE 7u11を公開 33
ストーリー by headless
公開 部門より
公開 部門より
Oracleは13日(現地時間)、Java SE 7u11を公開した。Java SE 7u10で発見された深刻なゼロデイ脆弱性(CVE-2013-0422)が修正されており、OracleではすべてのJava SE 7ユーザーに対して更新を呼び掛けている(
Java SE downloads、
リリースノート、
ITmediaの記事、
本家/.)。
この脆弱性は実証コードのほかランサムウェアの配布にも使われており、米国の国家安全保障省など政府機関もプラグインの無効化やJavaのアンインストールを呼びかける事態となっていた。なお、8月に報告された脆弱性をOracleが正しく修正していれば、今回のゼロデイコードは機能しなかったとも報じられている(The Next Webの記事、 本家/.記事2)。
この脆弱性は実証コードのほかランサムウェアの配布にも使われており、米国の国家安全保障省など政府機関もプラグインの無効化やJavaのアンインストールを呼びかける事態となっていた。なお、8月に報告された脆弱性をOracleが正しく修正していれば、今回のゼロデイコードは機能しなかったとも報じられている(The Next Webの記事、 本家/.記事2)。
こちらは永続的変更ですかね? (スコア:5, 興味深い)
http://www.itmedia.co.jp/news/articles/1301/14/news012.html [itmedia.co.jp]
リリースノートによると、2つの脆弱性に対処した他、Javaコントロールパネルでの
セキュリティレベルの初期設定を「中(M)(推奨)」から「高(H)」に変更した。
これにより、ユーザーが無署名のJavaアプレットなどを起動しようとすると、必ず警告が表示されるようになる。
Re:こちらは永続的変更ですかね? (スコア:3)
セキュリティ・レベルは上から
非常に高
高
中
低
カス
...か、なるほど。
Re: (スコア:0)
かつてはjbeef先生もこんなこと言ってたのに…。
http://takagi-hiromitsu.jp/diary/20050219.html [takagi-hiromitsu.jp]
Re:こちらは永続的変更ですかね? (スコア:1)
Javaアプレットは(少なくとも無署名のものは)死んだとOracle(旧Sun)が認めたも同然ですな。
Re: (スコア:0)
早くFlashもこうなってくれませんかね。
ランサムウェアのペイロードとしても使われる? (スコア:1)
この脆弱性を利用したコードが、ランサムウェア(ransomware; 身代金要求型マルウェア) を送り込むために使われるのだから、ペイロードはランサムウェアの方じゃないか?
Re:ランサムウェアのペイロードとしても使われる? (スコア:1)
Re: (スコア:0)
本家(とさらにその引用元であるThe Next Web)では
> Furthermore, not only is the vulnerability being exploited in the wild, but it is being used to push ransomware."
とそんな頓珍漢な文にはなっていないのでいつものheadlessクォリティということで。
前半部も「実証コードのほか」となるのはおかしくね?
さすがは脆弱性の塊 (スコア:1, すばらしい洞察)
こういう脆弱性報告を見る度にJavaはオワコンだと痛感する
Javaが登場した当初から、WORAなんて全然全くこれっぽっちも信じていなかったけど
JVMの脆弱性だけは、毎回毎回WORAを体現しているのが皮肉というか何というか・・・・・・・・・・
# Flashの脆弱性みたいに切れば良いとか、OSやブラウザの脆弱性みたいに汎用性は高いけど環境は限定的とか
# そういう次元の話じゃないJavaの脆弱性は、汎用性ありすぎる上にあらゆる環境で猛威を奮って手がつけられない
# 脆弱性だけは常にWORAとか・・・・・・・・・・・・・どんな嫌がらせ?
ほんとのオワコンなら相手にもされてないだろ? (スコア:0, フレームのもと)
使われないソフトが、最もバグレポートが少ない。ってやつだな。
よく考えてものを言おうな。
Re:ほんとのオワコンなら相手にもされてないだろ? (スコア:1)
Javaがダメ、JVMがダメ、Oracleがダメをごっちゃにしていませんか?
Re: (スコア:0)
Javaを糞言語という人は珍しい。
単にあんたがJavaの使い方も分からない、糞プログラマーなだけじゃね?
#たとえば「継承ってなんですか?インターフェースって初めて聞きました。例外のキャッチなんてめんどくさい」レベル。
Re: (スコア:0)
なんか出来る人間はそんなことを言わないよ。
Re: (スコア:0)
そんな機能足したって、Java使う凡庸な連中のこと考えたら糞度が増すだけじゃん。
Re: (スコア:0)
せ、せやな…
Re: (スコア:0)
昔のSWINGの見栄えは汚くてしょうがなかったけど、5以降はかなり良くなったと思うけど
Re: (スコア:0)
お前がそう思うんならそうなんだろう、お前ん中ではな
Re: (スコア:0)
お前がオワコンだということに早く気付こうじゃないか。
# Sun→Oracleになって随分と穴だらけになった気がするわ
# ……開いた穴の数というより塞がれた穴の数的に。
Re: (スコア:0)
Java Appletがオワコンだということに異論はないです(オマケでJava Web Startも)。
しかしサーバーサイドの実行環境としてのJavaまで否定するのは暴論だと思います。
自動アップデート (スコア:1)
前から疑問なのは、JREには何で自動アップデート機構がないんだろう? あるのは通知機能だけで、結局ユーザーが管理(アップデート)しないといけない。エンドユーザー向けなんだから、ほったらかしでも最新にするのが当然だと思うんだけど。
が、よく考えると、自動アップデートがあるのはFlash Playerぐらい。Adobe Readerも通知機能だけでアップデート作業は結局手動でしないといけない。
いくら修正版がリリースされても、入れなければ意味がない。自動アップデートなんて、真っ先に実装すべき機能だと思うのだけど。
こうしてみると、Windows Updateって、当たり前だけどほんとにすばらしい機能だと思う。
Re: (スコア:0)
Adobe Readerは設定変更でサイレントアップデート可能になりませんでしたっけ?
編集→機能設定→アップデーター→自動的にアップデートをインストールする
確か既定値にはなっていなかったような気もしますが、機能的にはずいぶん前から有りました。
Flashの自動更新だとダウンロードサイト開いて余計なの(McAFee Security Scanとか)何度も突っ込ませようとするのがちょっと残念。
Oracle JREのインストーラはWindows Installerということで、企業ユースとかだとActiveDirectoryでグループポリシー管理してる場合はいいんですけど、そう言うのと無縁な個人使用
Java still contains security flaws, experts claim (スコア:1)
Java still contains security flaws, experts claim
http://www.bbc.co.uk/news/technology-21011669 [bbc.co.uk]
Re:Java still contains security flaws, experts cla (スコア:1)
「Java修正は不十分」 米、無効化呼びかけ継続
http://www.nikkei.com/article/DGXNASGM1504D_V10C13A1EB2000/ [nikkei.com]
Re:Java still contains security flaws, experts cla (スコア:1)
引き続きJavaの無効化を:Oracle、Javaのアップデート公開も、修正された脆弱性は1つだけ? - @IT
http://www.atmarkit.co.jp/ait/articles/1301/15/news082.html [atmarkit.co.jp]
Re: (スコア:0)
「Java 7 Update 11でも脆弱性は残っているから引き続きJava無効化を」という話について | 情報科学屋さんを目指す人のメモ
http://did2memo.net/2013/01/15/java-7-update-11-cve-2012-3174-cve-2013-0422/ [did2memo.net]
ゼロデイ脆弱性? (スコア:0)
何度も指摘されていると思うのですが「ゼロデイ脆弱性」という表現はおかしくないですか?
Re: (スコア:0)
何度も言われてると思うけど諦めて自分の脳で補完した方が手っ取り早いんじゃないかな。
別の意味がすでにあるってこともなさそうだし。