またか?Oracle Java 7 に複数の脆弱性

cat-itクラッカーが凄いのかオラクルがしょぼいのか、前にも同じような脆弱性のニュース見たような覚えがあるんですが、またもOracleのJava7にサンドボックスを回避してアプリを実行させる脆弱性が見つかったようです。

補足程度に説明するとJava Script(外部リンクIT用語辞典)とJava Applet(外部リンクIT用語辞典)は名前が似ていますが全くの別物です。

Java Applet使っている有名なサイトで思い浮かぶのがネット速度調査のRADISHぐらいなので利用頻度が低いと思います、ブラウザの設定で自動的にJava Appletを読み込まないようにした方がいいでしょう。

アプレットを停止させる設定

各ブラウザのプラグインを無効化にしてJava自体を完全に停止させる設定は下記リンクに説明があります、この方法が一番安全です。

@ITセキュリティ攻撃阻止のためにWebブラウザでJavaを無効化する

プラグインを任意に読み込む設定

プラグインを完全に無効化するのが嫌な場合は任意に読み込む方法もあります。

Firefoxの場合、Noscriptを使おう。

定番アドオンなのですでに導入されている人も多いと思います、アプレットの読み込み設定がブラウザ単体でできないのでアドオンのnoscriptをインストールします。

http://noscript.net/

画像はnoscriptの設定画面、埋め込みオブジェクトでJavaの禁止にチェック(初期設定状態で有効)すればOK

noscript

Google Chromeの場合

セキュリティに問題が見つかった場合、プラグインが古いとこのように警告が出てプラグインの実行がされませんのでこのような画面の場合プラグインの更新を確認しましょう。

chrome1

プラグインの自動読み込みを禁止する方法

chromeの設定でプライバシーのコンテンツの設定をクリック

chrome0

プラグインの所が標準で自動的に実行する(推奨)になっているので「クリックして再生する」にチェック、この場合アプレット以外にFLASHのコンテンツもすべてブロックされます。

chrome

Operaの場合

設定→詳細設定→コンテンツの画面で「要求に応じてのみプラグインを有効にする」にチェック。chrome同様FLASHコンテンツもブロックされます、ブロックされたプラグインの場所にプラグインと同じ大きさの丸三角のアイコンが表示されますのでクリックすれば読み込みが始まります。

opera-plug

番外Ghosteryを使って無駄なスクリプトを読み込まない

今回の件とは直接関係ないんですが、上記三つのブラウザに対応しているアドオンのGhosteryを入れれば各サイトに仕込まれたFacebookやtwitterのボタンやアクセス解析などのトラッキングコードやクッキーや不要な広告等の読み込みを遮断してくれて便利です。

このアドオンのメリットはセキュリティ向上以外にもトラッキングの仕込まれた外部サイトの読み込み時間が遅いせいでブラウザの読み込みが終わらないって事が減ります。

見た目良くわからない怪しそうなアドオンなんですが広告の多いサイトで劇的に読み込みが改善する場合がありますのでオススメです。

http://www.ghostery.com/

ery

 

引用元: JVNTA13-032A: Oracle Java 7 に複数の脆弱性.

公開日:2013/02/04 最終更新日:2013/02/04

JVNTA13-032A

Oracle Java 7 に複数の脆弱性 緊急

概要

Oracle が提供する Java 7 には、複数の脆弱性が存在します。

影響を受けるシステム

以下の製品を含む、全ての Java Platform Standard Edition 7 (1.7, 1.7.0) を使用しているウェブブラウザ等のシステム

Java Platform Standard Edition 7 (Java SE 7) Update 13 より前のバージョン

Java SE Development Kit (JDK 7) Update 13 より前のバージョン

Java SE Runtime Environment (JRE 7) Update 13 より前のバージョン

詳細情報

Oracle が提供する Java 7 には、Java のサンドボックスを回避され、任意のコードが実行可能な脆弱性が存在します。

なお、本脆弱性を使用した攻撃が観測されています。

想定される影響

細工された Java アプレットが埋め込まれたウェブページや、Java Network Launching Protocol (JNLP) ファイルを開くことで、任意のコードが実行される可能性があります。

Java サーバアプリケーションの場合、細工されたファイルを処理することで、任意のコードが実行される可能性があります。

また、スタンドアロンの Java アプリケーションも、本脆弱性の影響を受ける可能性があります。

対策方法

アップデートする

開発者が提供する情報をもとに、最新版へアップデートしてください。

ワークアラウンドを実施する

以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

ウェブブラウザの Java プラグインを無効にする