Javaのセキュリティ機能は攻撃を阻止できない
http://www.itmedia.co.jp/news/articles/1301/29/news046.html 米OracleがJavaに実装したセキュリティ対策について、「不正なJavaアプレットなどを使ってユーザーが 気付かないうちに仕掛けられる攻撃を阻止できないことが分かった」とセキュリティ企業が伝えている。 この情報は、ポーランドのセキュリティ企業Security Explorationsが1月27日にセキュリティメーリングリスト の「Full Disclosure」に投稿した。 問題にしているのは、Oracleが2012年12月に公開した「Java SE 7 Update 10」に盛り込んだセキュリティ 強化措置。同アップデートでは無署名のJavaアプレットなどの扱いについて4段階のセキュリティレベルを 設定できるようになり、最高レベルの「Very High」に設定すると無署名のアプリの実行が阻止されるように なった。 しかし、Security Explorationsはこうしたセキュリティ対策について、「理論上のものに過ぎず、実際には セキュリティレベルの設定に応じた警告メッセージを表示させることなく、無署名の悪質なJavaコードを実 行することが可能」だと主張する。 実際に同社は、セキュリティレベルの設定にかかわりなく、無署名のJavaコードをWindows上で実行する ことに成功したと報告。同社は先に、Java 7 Update 11の未解決の脆弱性を発見したと伝えており、 Windows 7上でセキュリティレベルを「Very High」に設定した状態で、この脆弱性が悪用できることを実証 したとしている。 結論としてSecurity Explorationsは、Java SE 7のセキュリティ機能が強化されても、不正なJavaプラグ インを使ってユーザーが気付かないうちに仕掛けられる攻撃を防ぐことはできないと解説。 もうダメだわw Twitterサイバーテロ事件の原因は話題のJavaの脆弱性wwwww 今すぐアンインストールしろwwwww http://engawa.2ch.net/test/read.cgi/poverty/1359787786/ 更新が進まないプログラム、トップ3はJava、Flash、Adobe Reader カスペルスキーが1100万ユーザーのコンピュータの脆弱性状況について調べた。 http://www.itmedia.co.jp/enterprise/articles/1302/15/news077.html 米国のメディアやネット企業を狙ったサイバー攻撃が相次ぐ中で、米Appleも社内のMacがマルウェアに感染する被害に遭っていたことが分かった。 メディア各社が2月19日付で伝えた。 IT情報サイトAllThingsDなどの各社にAppleが寄せた声明によると、Webブラウザ用のJavaプラグインの脆弱性を悪用したマルウェアが、Apple社内の「少数の」Macに感染していたことが判明。 同社は感染したシステムをネットワークから隔離した。 情報が流出した形跡はないとしている。 問題のマルウェアはApple以外にも複数の企業に対する攻撃に使われているもので、ソフトウェア開発者向けのWebサイトを通じて流通しているという。 これに先立ち米Facebookも、1月にJavaの脆弱性を突いたゼロデイ攻撃の被害に遭い、従業員のPCがマルウェアに感染したことを明らかにしていた。 このマルウェアも、Facebook従業員がアクセスしたサードパーティー開発者のWebサイトが感染源だった。 また、Twitterも2月1日、同社のユーザー情報を狙った不正アクセスを検出したと発表。 1件については進行中の攻撃を発見して直ちに対処したが、ユーザー約25万人のユーザー名やアドレス、セッショントークン、暗号化されたパスワードなどの情報が流出した恐れがあるとして、これらユーザーのパスワードをリセットする措置を取った。 Javaは、OSを問わないマルチプラットフォーム対応の特性を利用して、WindowsとMacの両方を狙った攻撃に利用されている。 Macの場合、OS X LionからはJavaをインストールせずに出荷されるようになり、追加的なセキュリティ対策として、35日以上使われなかったJavaを自動的に無効化する措置も導入した。 Appleは今回の攻撃発覚を受けて19日、Javaマルウェア削除ツールの更新版をリリースし、今回のマルウェアを検出・削除できるようにしたと発表している。 http://www.itmedia.co.jp/enterprise/articles/1302/20/news037.html F-Secureは、AppleやFacebook、Twitterなどに対するサイバー攻撃の狙いは、Macを利用する開発者の機密情報かもしれないと推測している。 http://www.itmedia.co.jp/enterprise/articles/1302/22/news057.html 攻撃者はフォーラムサイト「iPhoneDevSDK」の管理者アカウントを乗っ取り、未知の脆弱性を突く攻撃を仕掛けたとみられる。 http://www.itmedia.co.jp/enterprise/articles/1302/21/news034.html >>10 米Apple社が「最も脆弱性報告の多い企業」に http://wiredvision.jp/news/201007/2010072321.html 米Apple社が米Oracle社を抜いて、世界で最もソフトウェアの脆弱性報告が多い企業となった。 Apple社の脆弱性の多くは、『iTunes』や『Safari』、『QuickTime』などのソフトウェアで見つかっている。 「始末書と反省書」 学生番号 M89199(大阪国際大学 国際経営情報学部 2期生) 自衛隊番号 ME39−225605P 「護衛艦もちづき」「護衛艦あぶくま」「舞鶴警備隊」 「Java」って何の略だと思います? 「邪魔するババア」と「邪悪なバカ」の二論があるんです。 「ジャバ・ザ・ハット」の正体がスネてる実父母と気づけば「JEDI認定」。 誰でも簡単にネットで稼げる方法など 参考までに、 ⇒ 『半藤のブブイウイウレレ』 というサイトで見ることができます。 グーグル検索⇒『半藤のブブイウイウレレ』 L23RPOWZ2H read.cgi ver 07.5.4 2024/05/19 Walang Kapalit ★ | Donguri System Team 5ちゃんねる