https://www.bravotouring.com/~yano/archives/2010/04/18/ Recent content in 2010/04/18 on Yano's digital garage Hugo en-us Sun, 18 Apr 2010 23:36:04 +0900 https://www.bravotouring.com/~yano/diary/it/20100418jre6u20.htm Sun, 18 Apr 2010 23:36:04 +0900 https://www.bravotouring.com/~yano/diary/it/20100418jre6u20.htm <p>国内でも<a href="https://www-950.ibm.com/blogs/tokyo-soc/entry/javaws-201004?lang=ja">Java Deployment Toolkit の脆弱性を悪用したゼロディ攻撃</a>が観測され始めた模様。</p> <table align="right" class="Landscape"> <tr> <td><img alt="Java 6 Update 20" src="https://www.bravotouring.com/~yano/images/2010/20100418jre6u20.png"/></td> </tr> <tr> <td class="PhotoMemo"><a href="http://mozilla.jp/firefox/">Firefox</a>のアドオン→プラグイン</td> </tr> </table> <p>CVSSベーススコアが最高の深刻度合いを示す「10.0」で、<a href="http://mozilla.jp/firefox/"><span class="Software">Firefox</span></a>でも<blockquote>プラグインのJava Deployment toolkit　6.0.190.4はセキュリティ上の問題があるため、ユーザ保護のために無効化します</blockquote>という表示を出して強制的に無効化する措置が採られているほど<span class="Serious">大変深刻な大穴</span>だ。</p> <p>何はともあれ、<a href="http://www.java.com/ja/download/installed.jsp">Javaのバージョン確認</a>でVersion 6 Update 20になっていないユーザは<a href="http://www.java.com/ja/download/">無料 Java のダウンロード</a>よりダウンロードして可及的速やかにアップデートしましょう。</p> <p>ちなみに<blockquote cite="http://www.itmedia.co.jp/news/articles/1004/15/news034.html">今回悪用されているのは、2008年4月にリリースされたJava 6 update 10の「Java Web Start」という機能。同機能を使ってWebサイトからプログラムを実行できるようになったため、「攻撃側にも便利な機能として使われてしまった」とトンプソン氏は指摘している。</blockquote>という事で、<a href="http://java.com/ja/download/faq/java_webstart.xml">Java Web Start</a>というのは「Javaアプレットの代替物になるリッチクライアントと言われている」代物だそうだ。</p> <p class="Reference">【参照】 <br/>●ITpro <a href="http://itpro.nikkeibp.co.jp/">http://itpro.nikkeibp.co.jp/</a> <br/>┗<a href="http://itpro.nikkeibp.co.jp/article/NEWS/20100415/347163/">Javaの新しい脆弱性を突く攻撃出現、国内企業で被害を確認</a> 2010年4月15日 <br/>●ITmedia News <a href="http://www.itmedia.co.jp/news/">http://www.itmedia.co.jp/news/</a> <br/>┣<a href="http://www.itmedia.co.jp/news/articles/1004/15/news034.html">Javaの脆弱性を突く攻撃発生、歌詞サイトで悪用</a> 2010年4月15日 <br/>┗<a href="http://www.itmedia.co.jp/news/articles/1004/16/news022.html">OracleがJavaの臨時アップデートを公開</a> 2010年4月16日 <br/>●ibm.com コミュニティー <a href="https://www-950.ibm.com/">https://www-950.ibm.com/</a> <br/>┗<a href="https://www-950.ibm.com/blogs/tokyo-soc/entry/javaws-201004?lang=ja">Java Deployment Toolkit の脆弱性を悪用したゼロディ攻撃を観測</a> 2010年4月15日 <br/>●Japan Vulnerability Notes <a href="http://jvn.jp/">http://jvn.jp/</a> <br/>┗<a href="http://jvn.jp/cert/JVNVU886582/">JVNVU#886582: Oracle Sun Java Deployment Toolkit に引数の検証処理に問題</a> 2010年4月16日 <br/>●Java.com <a href="http://www.java.com/ja/">http://www.java.com/ja/</a> <br/>┣<a href="http://www.java.com/ja/download/">無料 Java のダウンロード</a> <br/>┗<a href="http://www.java.com/ja/download/installed.jsp">Javaのバージョン確認</a> <br/>●Wikipedia <a href="http://ja.wikipedia.org/">http://ja.wikipedia.org/</a> <br/>┣<a href="http://ja.wikipedia.org/wiki/Java%E3%82%A2%E3%83%97%E3%83%AC%E3%83%83%E3%83%88">Javaアプレット</a> <br/>┗<a href="http://ja.wikipedia.org/wiki/Java_Web_Start">Java Web Start</a> </p>