Java 7 Update 21にサンドボックスを迂回することが可能な脆弱性の報告 36
ストーリー by hylom
セキュリティホールの宝箱や! 部門より
セキュリティホールの宝箱や! 部門より
あるAnonymous Cowardのタレコミより。Javaに新たな脆弱性がまたしても発見された。最新のJava 7 Update 21でも影響を受けるという(ITmedia)。
すでにこの脆弱性を悪用するコードも出回り始めているとのこと。Oracleは4月16日に計42件の脆弱性の対処を行ったJava Update 21をリリースしたばかり。
思い返してみると、、 (スコア:2, 興味深い)
ブラウザでAppletが動いて助かった、という記憶も、動かなくて困った、という記憶も、ここ10年以上ないなぁ。。
というわけで、自分はここ最近Java Plug-In自体を無効化しています。
皆さんはどうですか。
Re:思い返してみると、、 (スコア:5, おもしろおかしい)
もはやIPAのバージョンチェッカ(MyJVN)でしか
使い途がないという微妙な本末顛倒さよ
微妙じゃないだろ! (スコア:0)
本末転倒って意味では、あまりにも見事過ぎるんですけど?
つぅか IPA の人はどう考えてるんだろうね?
MyJVN のせいでセキュリティリスクにさらされることを。
Re: (スコア:0)
というか、それ公開されたとき試そうとしたら、Java入れないとダメってんで結局やめたんだけど。
Re:思い返してみると、、 (スコア:1)
アンインストールしています。Eclipseを動かすとかEclipse上で何かを動かすためだけに公開JREをインストールする必要はないし。
Re:思い返してみると、、 (スコア:1)
某社のストレージ管理画面がJava6でしか動かないので、IEでは有効にしている。
ネットサーフィンはFirefoxかChromeでとブラウザを分けている。
Re:思い返してみると、、 (スコア:2)
役所相手に仕事してると、オンライン登録等で、屡々Javaを要求されますね。しかもJavaのバージョンアップは厳禁。
特定のプラットフォームに依存しないようJavaを使ってるのかと思いきや、ブラウザはIE限定だったりする。
役所って何でJavaが好きなの?
Re:思い返してみると、、 (スコア:1)
Appletじゃなくて、WebStart使えばブラウザ依存しなくなるのにね。
Cookie引き継げないのが面倒だったりするのかもしれないけど。
Re: (スコア:0)
昔は/.JもJavaマンセーだったんよ
まぁ当時はActiveXやFlash位しかなかったしな
Re: (スコア:0)
まだMicrosoftのセキュリティも色々と残念で、プラグインまで手を伸ばすまでもなくやすやすと攻撃できたしな。
Re:思い返してみると、、 (スコア:1)
初めて使った時は、ちょっとびっくりしました。
Re: (スコア:0)
同じく無効にしてます。
Intel様 (スコア:0)
Intelのドライバー検索 [intel.com]がJavaアプレットを要求しますね。
IEならIntel謹製のActive-Xコントルールインストールしていれば大丈夫だけど。
でも、インストール済みのドライバみたいにハードに直結してるところもJavaアプレットで触れるんか。
なんのためのサンドボックスなんだろう。
Re:Intel様 (スコア:1)
>なんのためのサンドボックスなんだろう。
影響範囲を限定するためですよ。
ローカルリソースにアクセスするときとか、確認取ってからという流れにするのです。
だから、確認次第で色々できるようになっちゃうんですね。
確認とかなしにローカルリソースへアクセスできるとかの問題が
「サンドボックスを迂回」と表現されてるのです。
Re: (スコア:0)
百歩譲ってアプリケーションはともかく、アプレットにそこまで許す必要があるんかねぇ。
Re: (スコア:0)
ドライバのバージョンチェックはアプレットにやらせるべきでないって話?
Re: (スコア:0)
べきかべきでないかって話をするなら、やらせるべきじゃないだろうねぇ。
Re: (スコア:0)
ところが署名なしアプレットも確認を要求されるようになったのでもう本当に意味不明。
Re: (スコア:0)
Intelのサーバ管理ツールのRMMもJavaいりますよね
Re: (スコア:0)
Intelチップセット機以外で実行するともれなくBSoDする自動デバイスサーチャー・・・・
Re: (スコア:0)
銀行のオンライン取引で要求されるのでいやいや使ってます。
IEしか対応しないとかでWindows必須ってのがヤレヤレなんですよね。
Re: (スコア:0)
Open/LibreOfficeで使ってるようだけど、削除するとどういう影響があるんだろうか。
このコンポーネントで使っていて何か影響が出るかも知れない、という説明はあるんだけど、使用感というかそういうのは。
Re: (スコア:0)
LibreOfficeのシステム要件 [libreoffice.org]によると、
とのことなので、基本的にはJavaは不要です。
OpenOffice.orgの方は、関心がないので調べていません。
×またも発見された ○指摘したのに直ってなかった (スコア:1)
「新バージョンリリースされてから調べてみたらあった」じゃなくて
「もう1年前に報告したのに直ってなかった」がより正しい
しかしOracleが罪深いのは事実だが、発見者も修正のためにもう少し協力できるところはなかったんだろうか…
Re: (スコア:0)
サポート契約も結んでないのにそこまでやる義理は無いでしょ。
特にOracle相手ならば尚更。
Re: (スコア:0)
・報告した
これ以上何をしろと?
もう限界だ (スコア:0)
JavaをMicrosoftかGoogleにでも売っちゃえばいいのに…
Re:もう限界だ (スコア:1)
J++復活ですね。
Re: (スコア:0)
売る?
粗大ゴミは逆にお金を払って引き取ってもらうものでは?
Re: (スコア:0)
JavaをMicrosoftかGoogleにでも売っちゃえばいいのに…
IBMの方が良いような気がする。
SunからOracleになって、開発者はモチベーション下がってるんだろうなぁ。
Re: (スコア:0)
子会社でいいからSunを復活させるのはどうだろうか……
IBMもGoogleもクラスやライブラリの命名がなんだかなぁって思うので。
# 個人的にはRedHatに引き取ってもらうという手があると思う
# 元Sunのエンジニアもそれなりに居るはずだし
Re: (スコア:0)
Microsoftはもういらんって言うだろう。
仮に買ったとしても、買い殺しだろう。
Re: (スコア:0)
すでにOracleに飼い殺しされている気ががが
捨てられないんだよ……… (スコア:0)
こないだオラクルが「NTTドコモの基幹システムの更新した」ってプレスリリース出したんだけど、ドコモの顧客システム「ALADIN」はJava Platform,Enterprise Edition使っているのよ(Oracle blog [nikkeibp.co.jp])。
だからJAVAはイラナイ子じゃないんだよな
OpenJDK (スコア:0)
OpenJDKでは発覚しないのか?
OpenJDKをウォッチする人が足りないのか?
Oracle Javaだけが持っている機能に由来するのか?
Re: (スコア:0)
OpenJDKでも同じ脆弱性はあるでしょ。Java7 u21のときも、数日でアップデートが出ていたよ。