JREに結構とんでもない脆弱性が見つかったらしい。
INTERNET Watch: SunのJavaプラグインに脆弱性
さらっと書いてあるけど、アプレットの権限昇格関連ってことは、文字通り「開いただけでPCの全コントロールを奪うようなWebページが作れる」という意味と理解したんだけどどうだろうか。そういうページ(アプレット)の作りやすさは、ちょっと読んだ範囲では不明。
まぁ、怪しいサイトは開かなければいいとか、アプレット止めとけばいいとかいうのは確か。なはず。
とりあえず「ツール->クイック設定->Javaを有効にする」でAppletは止めたけど、久しく「Opera使ってるからそうそうひどいことにはならない」と油断してたので、軽い衝撃。
今回のJREの脆弱性の恐さは、「特定の操作で発生、理論上攻撃が可能」とかいうレベルの話ではないと思う。リンクひとつクリックさせれば攻撃が成立するはず。
JavaにはJDK1.0のサンドボックスのイメージがあって、絶対的な信用があったけど、アプレットにも懐疑的であるべきなのかも知れない。
とかいいつつ。
セキュリティモデルがどうなってるかすら知らないFlashとかは使ってるんだよな。
元記事らしきものをちらっと見て理解した範囲ではリフレクションAPIとか絡んでるらしいけど、とりあえずアプレットだけ心配すれば良さそう。普通にJava使ってる分には知らぬ間に他所のバイトコード喰わされるようことはそうそうなかろうから、別の穴がなければだいじょぶなんだろう。
久しく意識してなかったJDKのバージョンを見たらとりあえず最新じゃないもののだいじょぶそう。自動アップデータは毎月1日に警告することになってるらしく、6月ごろのバージョンで脆弱性は解消してた模様。
Javaのアップデータ、デフォルト設定か確認できないけど、タスクトレイに警告だけ表示されて、自動でダウンロードしたりはしなかったような気がする。
個人的にはトレンド事件とかが念頭にあるので、全自動よりはこの方が安心感はある。何台かあればどれか生き残りやすい。MSUpdateとかウィルスバスターとかもなるべく手動にしてたりする。
Javaのアップデータが実装された時は気味が悪いとも思ったけど、JREアップデートしないで使い続けてる、というか、JREがインストールされてることを認識してないで使ってる人もいるとすると、どうしても必要だったのかとも思う。ClientSideJavaそれだけ普及したと言えなくもない。いや、それでも実際アップデートしてない人が今でもいるような気もするんだけど。
PerlとかRubyとかもよく知らないけどとりあえずCPANだのGemだのダウンローダあるみたい、というか使うのが当然みたいな風潮らしいし、Eclipseも自体がアップデータ持ってるみたいだし、rpmやらaptやらも当然のごとく使われてるし。
もう、セキュリティについて考えろと言われてるのやら考えるなと言われてるのやら。
参照記事:
INTERNET Watch: SunのJavaプラグインに脆弱性
Cnet: サン、Javaの深刻なセキュリティ問題5件に対応
KimI
INTERNET Watch: SunのJavaプラグインに脆弱性
さらっと書いてあるけど、アプレットの権限昇格関連ってことは、文字通り「開いただけでPCの全コントロールを奪うようなWebページが作れる」という意味と理解したんだけどどうだろうか。そういうページ(アプレット)の作りやすさは、ちょっと読んだ範囲では不明。
まぁ、怪しいサイトは開かなければいいとか、アプレット止めとけばいいとかいうのは確か。なはず。
とりあえず「ツール->クイック設定->Javaを有効にする」でAppletは止めたけど、久しく「Opera使ってるからそうそうひどいことにはならない」と油断してたので、軽い衝撃。
今回のJREの脆弱性の恐さは、「特定の操作で発生、理論上攻撃が可能」とかいうレベルの話ではないと思う。リンクひとつクリックさせれば攻撃が成立するはず。
JavaにはJDK1.0のサンドボックスのイメージがあって、絶対的な信用があったけど、アプレットにも懐疑的であるべきなのかも知れない。
とかいいつつ。
セキュリティモデルがどうなってるかすら知らないFlashとかは使ってるんだよな。
元記事らしきものをちらっと見て理解した範囲ではリフレクションAPIとか絡んでるらしいけど、とりあえずアプレットだけ心配すれば良さそう。普通にJava使ってる分には知らぬ間に他所のバイトコード喰わされるようことはそうそうなかろうから、別の穴がなければだいじょぶなんだろう。
久しく意識してなかったJDKのバージョンを見たらとりあえず最新じゃないもののだいじょぶそう。自動アップデータは毎月1日に警告することになってるらしく、6月ごろのバージョンで脆弱性は解消してた模様。
Javaのアップデータ、デフォルト設定か確認できないけど、タスクトレイに警告だけ表示されて、自動でダウンロードしたりはしなかったような気がする。
個人的にはトレンド事件とかが念頭にあるので、全自動よりはこの方が安心感はある。何台かあればどれか生き残りやすい。MSUpdateとかウィルスバスターとかもなるべく手動にしてたりする。
Javaのアップデータが実装された時は気味が悪いとも思ったけど、JREアップデートしないで使い続けてる、というか、JREがインストールされてることを認識してないで使ってる人もいるとすると、どうしても必要だったのかとも思う。ClientSideJavaそれだけ普及したと言えなくもない。いや、それでも実際アップデートしてない人が今でもいるような気もするんだけど。
PerlとかRubyとかもよく知らないけどとりあえずCPANだのGemだのダウンローダあるみたい、というか使うのが当然みたいな風潮らしいし、Eclipseも自体がアップデータ持ってるみたいだし、rpmやらaptやらも当然のごとく使われてるし。
もう、セキュリティについて考えろと言われてるのやら考えるなと言われてるのやら。
参照記事:
INTERNET Watch: SunのJavaプラグインに脆弱性
Cnet: サン、Javaの深刻なセキュリティ問題5件に対応
KimI