web-dev-qa-db-ja.com

JavaアドオンIEのアドオンを無効にすると、Javaエクスプロイトから保護されますか?

最近のJavaの脆弱性( Javaを無効にする必要がありますか? )に関して、最も一般的なアドバイスは、ブラウザーでJavaプラグインを無効にすることです。

しかし、Heise Securityは、Internet Explorerに関しては これでは不十分かもしれません

Heise Securityでアソシエイツによって実行されたテストでは、Microsoftのフラグシップブラウザが明示的に無効にされた後でも、Javaプラグインにアクセスできることが判明しました。したがって、IEを実行しているユーザーは、Windowsのコントロールパネルの[プログラムの追加と削除]オプションを使用してJavaを完全にアンインストールすることをお勧めします。

Javaアドオンが無効になっている場合でも、IEエクスプロイトが悪意のあるWebサイトにアクセスしているJavaユーザーに害を及ぼす可能性のある既知の弱点はありますか?

web-browserjavapluginsinternet-explorer
8
Heinzi

私のドイツ語はかなり錆びていますが、 Heise Securityの記事 がH-onlineの記事の主張を実際に述べていないことは確かです。

Unter Opera erreicht man die Plugin-Verwaltung durch die Eingabe von opera:plugins in die Adressleiste。 Beim Internet Explorerは、「アドオンバージョン」のプラグインを削除します。 Wer den IE einsetzt、sollte Java daher besservollständigüberSystemsteuerung/Software deinstallieren。

これは大まかに変換すると

Operaのプラグインマネージャには、アドレスバーにopera:pluginsと入力してアクセスできます。 Internet Explorerの場合、Javaプラグインの非アクティブ化に「アドオンの管理」を使用するだけでは不十分です。 IEを使用するユーザーは、コントロールパネル/プログラムからJavaを完全にアンインストールする必要があります。

IEでは、ブラウザー内からJavaプラグインを完全に無効にすることはできません。代わりに、 レジストリキーを使用して無効にする にする必要があります。 Heiseの記事はこれをほのめかしています-プラグインをオフにするだけでは、IEに埋め込まれたJava機能が実際に完全に無効になるわけではありません。 Heiseの記事作成者はこのレジストリトリックに気づかなかったと思います。また、H-onlineの記事作成者は、事実を適切にチェックせずに、「令状として」アドバイスを受け取っただけだと思います。

したがって、完全にアンインストールする必要はありません。確かに、最近の0日間の疲れを考慮して、それなしで生き残ることができるのであれば、アンインストールするもののリストの一番上に置いておきます。

7
Polynomial

アドオンを無効にするだけでは不十分です。

CERTは次のように書いています その脆弱性ノートの1つに

JavaプラグインとJava Deployment Toolkit for Internet Explorerを無効にします

Internet ExplorerのJavaプラグインを無効にすることは、他のブラウザよりもはるかに複雑です。 WebページがJavaアプレットを呼び出す方法は複数あり、Javaプラグインサポートを構成する方法も複数あります。 Microsoftは KB記事2751647 をリリースしました。これは、Internet ExplorerのJavaプラグインを無効にする方法を説明しています。ただし、Internet ExplorerでJavaを呼び出す方法は多数あるため、それらのガイダンス(および以前のガイダンス)ではJavaを完全に無効にできないことがわかりました。ただし、Javaバージョン7からJava 7 Update 6までで提供されるすべてのCLSIDを無効にし、Javaの呼び出しをブロックするレジストリファイルを提供しています。 「インターネットゾーン」の RLACTION_Java_PERMISSIONS フラグを設定して、IEの要素を介して。他のゾーンで要素を無効にする場合は、必要に応じてレジストリファイルを変更できます。詳細については、Microsoft KB記事182569 を参照してください。テストでは、このレジストリファイルをインポートすると、Internet ExplorerでJavaアプレットが呼び出されないように見えます。

したがって、JavaでIEを確実に無効にするには、アドオンandを無効にする以外に方法はありません。 @ Polynomial によって提供されるリンクで提案されているレジストリエントリ。ただし、 異なるJavaバージョンには異なるキルビットGUIDがあるようです 、つまり、このメソッドは基本的に、現在既知のバージョンのみをブラックリストに登録することを意味しますJavaプラグインの一部です。特定のエクスプロイトが修正されるまでJavaを無効にするだけの場合は問題ありません。ただし、Javaを完全に無効にすることはできません。

ただし、Java 7u10以降、Javaコントロールパネルには、すべてのブラウザでJavaを永久に無効にする機能があります。 Oracle自体 これを/ IEでJavaを無効にする唯一の方法として記述

Internet Explorer

Internet Explorer(IE)でJavaを完全に無効にする唯一の方法は、上記のJavaコントロールパネルからJavaを無効にすることです。

4
Heinzi