Oracle、『Java』の脆弱性修正アップデートを急遽リリース
Oracle は15日、深刻な脆弱性2件を修正した『Java SE 6 Update 20』を公開した。この脆弱性は、システム上での任意のコマンド実行を許しかねないもので、『Windows』『Linux』『Solaris』の各プラットフォーム上で Java を利用するユーザーが影響を受けるという。
特に Windows は他より危険性が高く、Oracle は脆弱性評価システム『Common Vulnerability Scoring System』(CVSS) において、Windows における両脆弱性の評価スコアを、最も深刻度の高い10.0としている。一方、Linux と Solaris における CVSS スコアは7.5だ。この深刻度の違いは、Windows ユーザーの多くがシステムを管理者権限で使用していることによるもので、Linux と Solaris ではそのようなケースは Windows ほど多くないと、Oracle は述べている。
Oracle のグローバル テクノロジ ビジネス部門でセキュリティ担当マネージャを務める Eric Maurice 氏が、Blog で明らかにしたところによると、これらの脆弱性は、Java の最近のリリースに含まれる『Java Deployment Toolkit』および『Java Plug-in』に影響するもので、サーバーまたはスタンドアロンのデスクトップ アプリケーションで実行している Java には影響しないという。厳密に言うと、影響を受けるのは32ビットの Web ブラウザ上で Java を実行した場合のみとなる。
Oracle はこの数日前に、四半期ごとの定例セキュリティ更新『Critical Patch Update』(CPU) を実施したばかりだ。そのようなタイミングでまた緊急に Java のパッチを公開したのは、セキュリティ関連のメーリングリストで今回の脆弱性が報告され、新たに公表されたこの新情報を悪用した攻撃を Java ユーザーが受ける危険性が生じたためだ。
メーリングリストに脆弱性を報告したセキュリティ研究者の Tavis Ormandy 氏は、リストへの投稿の中で、Java が URL パラメータを『Java Network Launch Protocol』(JNLP) の一部として正しく確認せず、それによって、Java が他のプロトコルやアプリケーションを起動することが可能になっていると警告している。この結果、任意のパラメータを渡して悪用することが可能になると、Ormandy 氏は述べている。
Oracle のリリースノートによると、今回公開した Java SE 6 Update 20 では、コードベース パラメータを持たない JNLP ファイルを起動しないようにすることで、この脆弱性に対応しているという。
http://japaninternetcom.pheedo.jp/click.phdo?i=4f1290feea7f61804ca0cb31879c10af
誰かを傷つけるって、結局は自分が傷つくんですよね。
人はもともとひとつだったんです。今は50億個に細胞分裂してる
状態なんです。だから人に優しくするという事は自分を大切にすると
いう事。他人と自分は見えないものでつながっていると考えるべきです。
PICKUP
中高年の婚活衣食足りて礼節を知る(いしょくたりてれいせつをしる)再婚の方も!婚活船客傷害賠償責任保険商材商法/詐欺被害を防ぐ東京メトロ日比谷線小伝馬町駅多重債務とクレサラ問題自己破産無料相談事務所マヤ 占い集金詐欺/詐欺被害を防ぐPR
