アナログ
RSS  

Javaに0-day、Webブラウザで見るだけで攻撃されるおそれ2010/04/14 07:28

Java 6 Update 20が緊急リリースされています。Javaが必要な方はすぐにでもアップデートしてください。

【NEWS】Javaに未修正の脆弱性、Webページを閲覧するだけで攻撃を受けるおそれ
 本脆弱性は、Webブラウザーのセキュリティ設定でJavaScriptを無効化しても防御できないので注意。対策としては、たとえば「Firefox」の場合はアドオン画面の[プラグイン]タブで“Java Deployment Toolkit”を無効化する必要がある。

  また、IEではWindows標準の「レジストリ エディタ」などのレジストリ編集ソフトを使用し、ActiveXのクラスID“CAFEEFAC-DEC7-0000-0000- ABCDEFFEDCBA”へ“kill bit”を設定する必要がある。設定は以下のように行う。
可能ならJavaはアンインストールして対策版を待ちましょう。
アンインストールできない人は窓の杜の手順を確認して無効化しましょう。

それも仕事の都合で無理な方は、御愁傷様(-人-)でなくて、無効化したFirefoxと無効化してないIEを使い分けるなどして(Firefoxなら無効化したプロファイルと無効化してないのを使い分ける方法もあるでしょう)Javaの必要ないサイトには無効化したブラウザでアクセスするなどの次善策をとり、
仕事に関係ないサイトへのアクセスは控えましょう。そう、このブログとかw

<追記>
プラグインの無効化は対策として十分ではないそうです。

2010.04.15 木曜日 - Underforge of Lack
Java zero-day flaw under active attack
Disabling the Java plugin is not sufficient to prevent exploitation, as the toolkit is installed independently.
ということで、既にインストールされているツールキットに依存するため、Java Plug-inを無効化しても脆弱性緩和には役に立たないということです。
セキュリティホール memo
javaws / javaws.exe を無効化することで回避できる模様。
ということなので、アンインストールするか、エクスプローラでjavaws.exeのプロパティのセキュリティタグからアクセス権を「読み取り実行拒否」に変更すればいいのかなぁ。

なにしろインストールしてないので。^^;
難しいこと言ってないでアンインストールするのが一番安心ですね。
</追記>

ところでそのプラグインはJREにも入ってるん?
まだJavaはインストールしてないからいいけどさ。

そういえば、一太郎にパッチがでてますね。
【ゼロデイ攻撃】一太郎に脆弱性、すでに悪用も~早急に更新モジュール適用を

あとWordpressを管理されてる方は気をつけて。
WordPressのブログに大量のハッキング被害、不正サイトへ誘導も
 セキュリティ企業のSucuri Securityは、ブログでこの事件の原因について、WordPressではデータベースの管理情報がプレーンテキストの状態で保存されるという問題を指摘している。悪意を持つNetwork Solutionsのユーザーが、問題のある設定ファイルを見つけ出すスクリプトを作成してデータベースの管理情報を入手し、ブログのデータベースを改ざんしていたことが分かった。

今日は更新だらけで大変だ。

コメント

コメントをどうぞ

※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。

※投稿には管理者が設定した質問に答える必要があります。

名前:
メールアドレス:
URL:
次の質問に答えてください:
スパムがウザイので合い言葉を入れるようにしました。山と言えば川だろJK


コメント:

トラックバック

このエントリのトラックバックURL: http://puppet.asablo.jp/blog/2010/04/14/5016629/tb

※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。