Javaの更新はサイレントエクスプロイトをまったく防ぎません

Java Standard Edition 7(SE7)のアップデート – マシンをリモートエクスプロイトの影響を受けやすい高プロファイルの重大な脆弱性を修正するはずでしたが、さらなる問題への扉を開いたまま、ソフトウェアのすべての問題を解決できませんでした。

あなたがクラウドに移動するときには、最低限の共通分母の措置を受け入れるよりも、あなたの安全を守ると、Rik Ferguson

1月に発見されたゼロデイ脆弱性は、野生で悪用されたことが広く報告されており、米国の国土安全保障は、Javaを完全に無効にすることを推奨しています。悪質なプレスに続いて、OracleはすぐにJava SE7 Update 11の形式で問題の修正プログラムをリリースしました。

しかし、Security Explorationsの研究者であるAdam Gowdiak氏は、Javaのもう1つの脆弱性が悪意のあるコードのリモート実行、つまりWebページでの署名されていないJavaコンテンツの実行を可能にすることをFull Disclosureメーリングリストで述べている。

「われわれが見つけたことと、新しいセキュリティ脆弱性の対象(Issue 53)は、Java Control Panelの4つの設定に関係なく、署名されていないJavaコードを対象のWindowsシステム上で正常に実行できることです」とGowdiak氏は記しています。

4つのJavaコントロールパネルの設定は、2012年10月のJava SE7 Update 10で導入されたセキュリティ設定で、未署名Javaアプリケーションのアクセスを制御します。これにより、ユーザーはJavaのWebセキュリティを低、中、高、または非常に高く設定できます。 「非常に高い」と設定すると、署名されていないアプリケーションは理論上は潜在的な脅威からユーザーを保護するサンドボックス環境の外では実行しないでください。

最新のJava SE 7 Update 11(JREバージョン1.7.0_11-b21)の環境で、Windows 7 OSおよび「非常に高い」Javaコントロールパネルのセキュリティ設定で問題53が正常に実行されました」とGowdiak氏はこの開示で記しています。 Java SE 7ソフトウェアに対するセキュリティ強化は、サイレントエクスプロイトをまったく防止するものではありません。

Javaは、そのような大規模なインストールベース(現在850万台以上のPCとMacで使用されている)と頻繁に批判的に評価されているセキュリティ脆弱性を持っているため、悪意のあるソフトウェアメーカやオンライン仲間の目立つターゲットとなることがよくあります。

革新、?M2M市場がブラジルに戻ってくる、セキュリティー、FBIがCrackasのメンバーを逮捕米政府関係者のハッキングに対する態度、セキュリティ、Wordpressは重要なセキュリティホールを修正するために今更新するようユーザーに促す、セキュリティー、ホワイトハウスは連邦最高責任者情報セキュリティ責任者

M2M市場はブラジルに戻ってくる

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命