Java 7 update 11はどのようにセキュリティの脆弱性を修正しますか?
最近発見された穴を解決するための新しいJavaリリース 数日前 があります。
( Oracle 、 S-CERT 、 NVD/NIST )
この更新プログラム11に関する最初の読みで、デフォルトで質問なし実行機能が部分的に無効になっている場所を明確に見ましたが、根本的な問題を実際に修正している場所はわかりませんでした。それで、次の情報は正しいですか?
- Javaサンドボックスの脆弱性は7u10と7u11の両方にありますか?
- これはほとんどJavaプラグイン(Javaが有効な状態でのWebブラウジング)の問題ですが、一般に不明なものに影響を及ぼしますサンドボックスを利用するアプリケーション。
- 問題を回避する唯一の方法は、信頼できないコードが実行されないようにすることです。 (Javaを無効にするか、アプレットを実行する前に常に確認するように調整します)
- 7u10と7u11の唯一の関連する違いは、質問せずに(デフォルトで)アプレットを実行する代わりに、Java 7u11は、署名なしのアプレットを実行する前にユーザーに尋ね、署名を実行し続けることです。署名なしのアプリは、脆弱性を悪用するために引き続き使用できることを意味しますか?
コメントをありがとう@Ramhound.
US CERTは、Update 11がインストールされていても、ブラウザ内でJavaを無効にすることを推奨しています。
Update 11は1つの脆弱性を修正しますが、 Java 7 Update 11は、別の0日間に対して脆弱です 。これは、発見されたのは、悪用コードを販売する申し出であり、それがどのように機能するかについてのヒントはありません(または実際に機能することの証明)。
編集:アップデート11に存在する脆弱性の確認: http://seclists.org/fulldisclosure/2013/Jan/ 142
推奨事項:
もちろん、Javaを常に最新の状態に保ちます。
Javaを実行する前に常に確認するようにシステムを構成し、作成者が信頼できる場合にのみこれを承認します。
Javaアプレットをサンドボックスで実行することを承認する(これは実際に機能しますが、ほとんどの場合))とJavaアプレットをフルで実行することを承認することの違いを学びますコンピュータへのアクセス。
リンクされたCNET記事はCVE-2013-0422を参照しています「Oracle Java 7 Security Manager Bypass Vulnerability」( Oracle 、 S-CERT 、 NVD/NIST )。Oracleリンクから:「影響を受ける製品のリリースとバージョン:JDKおよびJRE 7 Update 10以前 "。
「Javaサンドボックスの脆弱性は7u10と7u11の両方に存在します」は正しくありません。7u10は脆弱です。7u11は脆弱ではありません。- アップデートノートは、バグがコードの変更によって修正されたことを示しています 、ではありません最後の箇条書きにあるように、デフォルトのセキュリティレベルを変更するだけです。
Javaブラウザプラグインは、脆弱なシステムに対するドライブバイタイプの攻撃を可能にするため、非常に問題があります。悪意のあるURLにアクセスするだけで、マシンが危険にさらされます-ダウンロードや警告ダイアログは表示されません。 これは攻撃を示すビデオです 。おそらく他の攻撃ベクトルがあるかもしれませんが、ブラウザが最も重要です。
正しい-確実にする唯一の方法は、ブラウザがJavaを呼び出さないようにすることです(ブラウザヘルパーを無効にするか、Javaを完全にアンインストールすることによって)
7u10と7u11の違いは Oracle Updateリリースノート で説明されています。概要:
このリリースには、セキュリティの脆弱性に対する修正が含まれています。詳細については、CVE-2013-0422のOracle Security Alertを参照してください。さらに、次の変更が行われました。デフォルトのセキュリティレベル設定が高に変更されました