◆脆弱性50件を修正／「Java 7 Update 13」公開、攻撃が発生したため前倒し

　昨夕、仕事から上がって、ネットのニュースを確認。
　その中に、
　　　　　「Javに実装したセキュリティ対策について、
　　　　　　不正なJavaアプレットなどを使ってユーザーが気付かないうちに仕掛けられる攻撃を阻止できないことが分かった」とあった。

　「JAVA」とか「JAVAスクリプト」とは時々聞く言葉。
　　　　　　（後掲の「JAVAとJAVAスクリプトは違う物」の説明参照）

　そこで、まずいことになってはいけないので、調べてみた。

　「Java 7 Update 13では、計50件の脆弱性を修正。うち44件の脆弱性はJavaのクライアント側に影響があり、JavaアプレットやJava Web Startを通じて悪用される恐れがある。
また、CVSSによる危険度の評価では26件の脆弱性が最高の「10.0」となっており、Oracleでは早急にアップデートを行うよう呼び掛けている。」

　「Java 6についても脆弱性を修正した「Java 6 Update 39」を公開した」

　「細工されたWebページなどを開くことで、任意のコードが実行される可能性がある」

　「この脆弱性を利用した不正プログラムとしては、
　「Blackhole Exploit Kit（BHEK）」「REVETON」といった「身代金要求型不正プログラム（ランサムウェア）」の亜種を拡散させる「Cool Exploit Kit（CEK）」が、すでに確認されている。
　　「REVETON」は、ユーザのコンピュータをロックした上で地元警察からを装う偽の警告文を表示し、
　　“身代金”として200～300ドルの支払いを、ユーザに要求するものとなっている。」

　などとされている。
　「Java 6」にいたっては、修正版を出すのに、この２月でサポート終了だという。
　　　「更新がうまくいかないときは、Javaを使わないで」とも。

　　　・・・・詳しくは、ブログで、各情報のもとにリンクして記録しておく。

　・・といううことで、昨夜、自分のパソコンを確認した。
　「Java 7」ではあったけれど、「Java 7 Update 13」ではなかったので、Java 7 Update 13に更新。

　　実際に「Version 7 Update 13」をダウンロードし、インストールしたあとの私のパソコンの画面表示。


　次に隣のパソコンを見たら、「Version ６」だった。
　ノートパソコンも。
　それで急いで更新した。
　次に、念のため確認しておく・・・

　　Javaの有無のチェック
Java のバージョンを確認しました。
正常な設定です。
推奨バージョンの Java がインストールされています (Version 7 Update 13).



どれも、「Version 7 Update 13」になって、とりあえずはホッ。

　（関連）２月４日のエントリー　◆「正義のハッカー」アキバで腕試し…国が初主催／ホワイトハッカー育成へコンテスト

●人気ブログランキング　=　今、３位あたり
　★携帯でも　クリック可にしました　→→　携帯でまずここをクリックし、次に出てくる「リンク先に移動」をクリックして頂くだけで「１０点」　←←

　★パソコンは　こちらをクリックしてください　→→←←このワン・クリックだけで１０点

●　　「JAVAとJAVAスクリプトは違う物」だと友達から聞いたのですが、もし違う物だとしたら、下記の質問について教えてください　 ・・・ JAVAはSun　Microsystemという会社が作ったオブジェクト指向のプログラム言語です。JVMという動作環境が必要ですが、その動作環境さえあればWindowsだろうとMacだろうとUnixだろうと、どこでも動かせるプログラムを作ることができます。 JavaScriptとは、Netscapeという会社が作ったオブジェクト指向なスクリプト言語でした。もともとはぜんぜん違ったLiveScriptという名前だったのですが、見た目が似ていることやマーケティング的な要因でJavaの冠名をくっつけたようです。 JavaScriptはスクリプト言語といわれていて、プログラムを実行する際、コンパイルという作業は行いません。人間が目で見て分かる命令を１行ずつブラウザが解釈して実行していきます。 ホームページを作成する上で、どちらを使ってもいいのですが、もともとJavaScriptは、ホームページに動きや対話性を持たせることを目的として開発されたため、JAVA（厳密にはアプレットやサーブレット）に比べるとJavaScriptの方が簡単です。 ただ、JavaScriptの方には、いくつか「出来ないこと」の制約が存在しているので、「何をやりたいか」で選んだほうがいいと思いますよ。

同社公式ページ 　　　●　　無料Javaのダウンロード 　　デスクトップ・コンピュータ用のJavaを今すぐダウンロード。 　　　Version 7 Update 13 　　　●　　Windows版Javaのダウンロード 　　　　　　　　　　推奨 Version 7 Update 13 (ファイルサイズ: 856 KB) 　　　　　Javaとは »　 Javaの有無のチェック » サポート情報

●OracleがJavaのアップデートを公開、緊急の脆弱性に対応
　　　　　　　2013-01-16ソース:　itpro著者:转载編集者:刘颖
　米Oracleは2013年1月14日（日本時間）、Windows/Macパソコンなど多くのプラットフォームで動作する「Java」実行環境のアップデート版「Java 7 Update 11」を緊急リリースした（画面）。同社のWebサイトで無償でダウンロードできる。

　Javaに関しては、JVN（JPCERTコーディネーションセンターと情報処理推進機構が共同で運営する脆弱性関連情報サイト）が1月11日に緊急の脆弱性情報を出していた。
「細工されたWebページなどを開くことで、任意のコードが実行される可能性がある」とし、「1月11日現在、対策方法はありません」としていた。

　Oracleが緊急リリースしたアップデートはこの脆弱性に対応するもの。OracleはJava利用者に対し、早急なアップデート適用を呼びかけている。

●　Oracle Java の脆弱性対策について(CVE-2013-0422)第13-05-274 　　　情報処理振興事業協会 (プレスリリース)-2013/01/14　　　最終更新日：2013年1月15日 ※追記すべき情報がある場合には、その都度このページを更新する予定です。 MyJVNバージョンチェッカによる最新バージョン利用の簡易チェックが行えます。こちらからご利用ください。 概要 Oracle 社が提供する JRE (Java Runtime Environment) は、Java プログラムを実行するためのソフトウェア実行環境です。 JRE には、ウェブを閲覧することで任意のコード（命令）が実行される可能性がある脆弱性が存在します。この脆弱性を悪用された場合、攻撃者によってコンピュータを制御される可能性があります。 既に、当該脆弱性を悪用した攻撃が確認されているとの情報があるため、至急、修正プログラムを適用して下さい。 対象 次の ORACLE 製品が対象です。 JDK and JRE 7 Update 10 およびそれ以前のバージョン 対策 脆弱性の解消 - 修正プログラムの適用 - Oracle社から提供されている最新版に更新して下さい。 Java のアップデート方法 次の URL にアクセスし、Java の最新バージョンをインストールしてください。 http://java.com/ja/download/

●Javaの脆弱性を修正する緊急パッチ公開
　　　　　　　　　　　rbbtoday　2013年1月16日(水) 08時00分
【特集】Java
├オラクル、Javaの脆弱性に対応した最新プログラムを緊急公開
├更新の未適用率が高いのはJavaおよびAdobe製品
└「Java 7」にふたたび重大な欠陥

Javaの脆弱性を修正する緊急パッチ公開、早急な適用を呼びかけ（トレンドマイクロ）

（イメージ）トレンドマイクロ株式会社は1月14日、Java 7に存在するゼロデイ脆弱性に対応する緊急修正プログラムが公開されたとしてブログで早期適用を呼びかけている。
この脆弱性については、修正プログラム公開前にすでにサイバー攻撃で悪用されていることが確認されており、同社は1月11日に注意喚起を発表している。
　この脆弱性を利用した不正プログラムは、「Blackhole Exploit Kit（BHEK）」や「REVETON」という「身代金要求型不正プログラム（ランサムウェア）」の亜種を拡散させる「Cool Exploit Kit（CEK）」といった攻撃ツールで利用されている。

今回公開された修正プログラムには、「CVE-2013-0422」と「CVE-2012-3174」の2つの脆弱性に対する修正に加え、Javaのセキュリティレベルを「中」から「高」にするという初期設定の変更が含まれている。この初期設定の変更によって、署名がされていないJavaアプレットが実行される際にユーザに警告が表示されるようになる。同社では、Javaを使用しているユーザは修正を早急に適用することを推奨するほか、Javaを利用していて何らかの理由で修正プログラムが適用できない場合には、Webブラウザのプラグイン、アドオンなどの設定で Java を無効にすることで、外部 Webサイトを経由した攻撃からのリスクを回避できるとしている。
Javaが不要な場合には、Java 自体をアンインストールすることも選択肢のひとつとしている。
《吉澤亨史@ScanNetSecurity》

●オラクル、Javaの脆弱性に対応した最新プログラムを緊急公開
　　　　　　　　　　　rbbtoday　2013年1月15日(火)
【特集】オラクル（Oracle）
├Oracle Java SEに任意のコードが実行される脆弱性
├「Oracle Java 7」に未対応の脆弱性
└日本オラクル、書き込み性能を最大20倍向上させた「SPARC S...

最新版のダウンロードページ
Oracle Security Alert for CVE-2013-0422　オラクルは14日（米国時間1月13日）、「Java」の脆弱性に対応する緊急修正プログラムを公開した。

　JDK and JRE 7 Update 10およびそれ以前のバージョンに、ウェブを閲覧することで任意のコード（命令）が実行される可能性がある脆弱性が存在するという。
Oracle社から提供されている最新版（Version 7 Update 11 ）に更新することで、複数の脆弱性が解消される。またJavaのセキュリティレベルが「中」から「高」にするよう初期設定が変更される。

　この脆弱性を利用した不正プログラムとしては、「Blackhole Exploit Kit（BHEK）」「REVETON」といった「身代金要求型不正プログラム（ランサムウェア）」の亜種を拡散させる「Cool Exploit Kit（CEK）」が、すでに確認されている。「REVETON」は、ユーザのコンピュータをロックした上で地元警察からを装う偽の警告文を表示し、“身代金”として200～300ドルの支払いを、ユーザに要求するものとなっている。《冨岡晶》


●「Java 7 Update 13」公開、攻撃が発生したため定例アップデートを前倒し
　　　　　　　　　　internet.watch（2013/2/4 12:09）
　米Oracleは1日、Javaの最新アップデートとなる「Java 7 Update 13」を公開した。
Oracleでは、2月19日にJavaの定例アップデートの公開を予定していたが、脆弱性を悪用する攻撃が確認されたため、公開を早めた。

　Java 7 Update 13では、計50件の脆弱性を修正。うち44件の脆弱性はJavaのクライアント側に影響があり、JavaアプレットやJava Web Startを通じて悪用される恐れがある。
また、CVSSによる危険度の評価では26件の脆弱性が最高の「10.0」となっており、Oracleでは早急にアップデートを行うよう呼び掛けている。

　また、Java 6についても脆弱性を修正した「Java 6 Update 39」を公開した。Appleも、Java 6をバンドルしているMac OS X 10.6向けに「Java for Mac OS X 10.6 Update 12」を公開した。Java 6はAppleがアップデートを提供する形となっているが、Java 7からはOracleが直接アップデートを提供している。

●脆弱性50件を修正するJavaの定例外アップデートが公開 - 悪用コード出回り前倒し
　　　　　　　　　　　（Security NEXT - 2013/02/04 ）
Oracleは、深刻な脆弱性を修正する「Java SE」の「クリティカルパッチアップデート（CPU）」を2月1日付で公開した。2月中旬に予定していた定例アップデートを前倒しで公開したという。

今回のアップデートは、「JRE」や「JDK」におけるあわせて50件の脆弱性を解消したプログラム。
セキュリティ以外の修正も行われた。影響を受けるのは「同7 Update 11」「同6 Update 38」「同5 Update 38」「同1.4.2_40」で、以前のバージョンも含まれる。

「Java SE」は、4カ月に1度、定期的にアップデートが公開されており、次回を2月19日に控えていたが、「JRE」の悪用コードが出回り、ゼロデイ攻撃のおそれが高まったことから急遽公開した。

同社では、1月にゼロデイ攻撃が発生した脆弱性「CVE-2013-0422」を含む複数の脆弱性へ「同7 Update 11」にて対応したばかりだったが、修正が完全ではなく悪用を懸念する声が一部専門家から上がっていた。今回のアップデートでは、「CVE-2013-0422」を含む累積的な問題を解消している。

同社では「同7 Update 13」など脆弱性を修正した最新版へアップデートするよう呼びかけている。また次回の定例アップデートを2013年6月18日に予定している。

●オラクル、ゼロデイ攻撃に対抗する「Java 7」緊急パッチをリリース Java 7、Java 6に対し早急なアップデートを呼びかけ 　　　　　　　　(Gregg Keizer／Computerworld米国版　(2012年08月31日) Windows版Java 7をインストール済みの場合は、コントロールパネル＞Java＞更新タブを開いて「今すぐ更新」ボタンをクリックすればアップデートが始まる。「java.com」サイトから最新版のダウンロードも可能 　米国Oracleは8月30日、ゼロデイ攻撃の拡大が報告されている「Java 7」の深刻な脆弱性を修正する緊急アップデート（Java 7 update 7）をリリースした。同時にJava 6のアップデートも公開されており、Oracle10+ 件では早急なアップデートを呼びかけている。 　セキュリティ・ベンダーのRapid 7によると、今回の“Out-of-Band（定例外）”アップデートのリリースは、現在拡大しているゼロデイ攻撃の動きを封じ込めるためのものだという。Rapid 7はオープンソースのペネトレーション・テスト・ツール「Metasploit」を提供している。 　Metasploitのエンジニアリング・マネジャーを務めるトッド・ベアーズリー（Tod Beardsley）氏は、今回のアップデートにより、「我々のテストにより、（問題となっていたゼロデイ）脆弱性を突く攻撃をブロックできることが確認された」と述べた。 　Oracleでは30日に同アップデート（バージョン1.7.0_07-b10）のリリース・ノート、およびセキュリティ・アラート文書（CVE-2012-4681）を公開した。 セキュリティ・アラートの中でOracleは、これらの深刻な脆弱性を突く攻撃が報告されていることに触れ、「早急にアップデートすることを推奨する」と記している。なお、Java 7と共にJava 6のアップデート（Java 6 update 35）もリリースされており、同様にアップデートが推奨される。 　Oracleでは同アップデートに関する説明をブログでも公開している。 　今回の脆弱性に関しては、セキュリティ専門家による報告時点ですでに攻撃コードの存在が指摘され、数日後には「Blackhole」攻撃ツールキットに攻撃コードが組み込まれたことも確認されていた。

●Javaのセキュリティ機能は攻撃を阻止できない？ セキュリティ企業が報告「警告メッセージを表示させることなく、無署名の悪質なJavaコードを実行することが可能」だとセキュリティ企業が伝えている。 [鈴木聖子，ITmedia] 　　　　　　　　ITmedia-2013/01/28 　米OracleがJavに実装したセキュリティ対策について、「不正なJavaアプレットなどを使ってユーザーが気付かないうちに仕掛けられる攻撃を阻止できないことが分かった」とセキュリティ企業が伝えている。 この情報は、ポーランドのセキュリティ企業Security Explorationsが1月27日にセキュリティメーリングリストの「Full Disclosure」に投稿した。 　問題にしているのは、Oracleが2012年12月に公開した「Java SE 7 Update 10」に盛り込んだセキュリティ強化措置。同アップデートでは無署名のJavaアプレットなどの扱いについて4段階のセキュリティレベルを設定できるようになり、最高レベルの「Very High」に設定すると無署名のアプリの実行が阻止されるようになった。 　さらに、1月にリリースした最新版の「Java 7 Update 11」では、セキュリティレベルの初期設定を「中（M）」から「高（High）」に変更し、無署名のJavaアプリを実行しようとすると警告メッセージが表示されるようにした。 　しかし、Security Explorationsはこうしたセキュリティ対策について、「理論上のものに過ぎず、実際にはセキュリティレベルの設定に応じた警告メッセージを表示させることなく、無署名の悪質なJavaコードを実行することが可能」だと主張する。 　実際に同社は、セキュリティレベルの設定にかかわりなく、無署名のJavaコードをWindows上で実行することに成功したと報告。 同社は先に、Java 7 Update 11の未解決の脆弱性を発見したと伝えており、Windows 7上でセキュリティレベルを「Very High」に設定した状態で、この脆弱性が悪用できることを実証したとしている。 　結論としてSecurity Explorationsは、Java SE 7のセキュリティ機能が強化されても、不正なJavaプラグインを使ってユーザーが気付かないうちに仕掛けられる攻撃を防ぐことはできないと解説。Javaコンテンツが必要な場合は、一部のWebブラウザが実装している「Click to Play」を活用することを勧めている。