【セキュリティ】Javaに新たな問題が見つかる、多数のブラウザに影響の恐れ（10/04/13）

　情報処理推進機構（IPA）とJPCERT コーディネーションセンターは4月13日、Oracle Sun Java Deployment Toolkitに
セキュリティ上の新たな問題が見つかったと発表した。

　この問題は、launch()メソッドの引数の検証処理に起因するもので、launch()メソッドからJava Web Startユーティリティ
（javaws.exe）に任意の引数を渡すことができてしまうという。攻撃者が悪用した場合、ユーザーが細工されたHTMLを
閲覧してしまうことで、リモートから任意のJARファイルを実行されてしまう危険がある。

　Java Deployment Toolkitは、Java SE 6 update 10以降をインストールした際に同時にインストールされる。ブラウザの
プラグインやActive-X コントロールとしても利用されるため、Microsoft Internet ExplorerやFirefox、Google Chromeなど
Windowsベースの多数のブラウザに影響が及ぶ可能性がある。

　米Oracleの対応は未定。IPAとJPCERT コーディネーションセンターは当面の回避策として、ActiveX コントロールや
ブラウザのJava Deployment Toolkitを無効にすることを推奨している。

http://www.itmedia.co.jp/enterprise/articles/1004/13/news072.html

無効にしたらプライスボードが見られないし。

Windowsって仕事に使うべきじゃないな

exeではなく任意のJARファイルだからどのOSでも動くよ
もっともWindows以外は侵入されマルウェアが動いてもまだ防御するので感染は無理
Windowsは突破されたら無抵抗に食われるかななぁ

>>4
秒殺Mac OS Xを忘れてるよ

>>5
Mac OS Xのセキュリティについて語る価値があるとでも思ったのか？

【窓の杜News】Javaに未修正の脆弱性、Webページを閲覧するだけで攻撃を受けるおそれ IE6/7/8や「Firefox」「Google Chrome」などWebブラウザー全般が対象
ttp://www.forest.impress.co.jp/docs/news/20100413_360951.html
↑設定方法の記載あり

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}]
"Compatibility Flags"=dword:00000400

レジ変更したら再起動したほうがええんかな？

>>6
時々馬鹿が沸くから、その馬鹿にも分かるように前置きとして、
文章の前に「Mac OS Xは論外だが〜」みたいなフレーズを入れると良い。

>>9
再起動するべし

Javaｼﾞｬｲﾌﾞｱﾊﾊﾊﾊﾊ~~~♣

firewallでjavaws.exeの通信をブロックすりゃええんやろ

>10
そんなワザワザ釣るようなまねしなくてもww

Oracle、「Java Runtime Environment (JRE)」の脆弱性修正版6 Update 20 を公開
ttp://www.forest.impress.co.jp/docs/news/20100415_361457.html
http://www.java.com/ja/

Microsoftはクズだね

java自体をアンインストールしても何も問題ないような

FlashとJAVAは捨てた方がIEが速くなる

あと画像・音声を非表示、履歴はを日、キャッシュを「確認しない」にし、ディスク領域を8MBに。
お気に入りには一切何も入れないというのも、軽くするための基本。
当然ユーザースタイルシートを使って
サイト側のスタイル指定はすべて無効にしているが、これもいいことだらけ。

他にもActiveX、アクティブスクリプト(JavaScript)、Cookieを無効
これらはセキュリティ上も危険なものがほとんどだから、
基本だからほとんどの人がやっていることだが、ずいぶんと軽くなる。

よほどのことがない限りJavaとFlashはオンにしないな
弱点多すぎ

>19
それLynxとどっちが速い？

なぬ

Javaなんか無くてもいいけど、最近はJavaScriptをオフにすると
表示さえまともにできないサイトが増えたからなぁ…。

JavaはSun Microsystemsが開発した言語
Java ScriptはNetscape Comunicationsが開発した言語
両者は全くの別物

セキュリティって利便性をとるか、万が一の時に備えるかだよね
とりあえずJavascriptを切るやつはブラウザをアンインストールしろ

うぃるす　とはWindowsで悪さをするプログラムの事です。

いつのまにかJava Quick Starterとかいうのが居座ってるから困る

>>25
ここまで頭悪いレスは久々に見た。大丈夫か〜？ｗｗｗ

何言ってるんだ！>>26だって相当なものだぞ！

javascriptとjavaは無関係

javaってもうやめちゃえばいいのに

Javaアプリ結構使えるよ。これもV2Cから書いているし、jEditも結構ストレス無く使える。
起動は遅いけどね。でもこれもメモリに常駐させておけば早くなる。

Javascriptはいまどき使わざるを得ないでしょう。そうしないと見れないところ多すぎ。
テキストウェブブラウザで見れるところが増えればいいですが。

Javascriptは即実行しないアドオンがある。それを使えばいいだけ。

OperaだとJavaやらJavaScriptやらプラグインなどの機能をオンオフする設定を
ブラウザのどこにでも貼り付けられるカスタマイズがかなり自由にできるから
いちいち設定ダイアログを開かなくてもいいんだよね。

私の場合は、アンダーバーのところに貼り付けている。
だから、必要になったときだけチェックを入れることが非常に手軽にできる。
Javaを有効にしていたのをうっかり忘れていたというハプニングも防げるし。

_ ←これがアンダーバーです

↓これはステータスバーです

>>35
これは？
http://www.nhk.or.jp/kids/program/inaiinai.html

vistaのPCを立ち上げる度にjava.exeが強制終了してしまう

>>35
> ↓これはステータスバーです

Operaではそういう名称の付け方は通用しないのです。
カスタマイズできちゃうからアンダーバーのところにステータスが表示されるとは限らないからです。

javaの話なのに、なんでjavascriptの話まで出てきてるんだ？
>>24のとおり、全くべつもんだぞ。

主題はセキュリティの話だから、今回のJavaの一件に限らず、NetscapeScriptもFlashPlayerも、
どれも有効にしとくと危ないよって話の文脈でしょう。

で、Operaなら、JavaもNetscapeScriptもプラグイン関連もクッキーも、設定ダイアログを開かず、
ステータスバーに配置しておけば、いつでもすぐに有効・無効のチェックを入れたり外したりできるよ、と。
ステータスバーにあるから有効にしたままにして忘れてしまう危険性も避けやすい、と。

うちの環境だとJAVA Deployment Toolkit のClassIDは
{CAFEEFAC-DEC7-0000-0001-ABCDEFFEDCBA}
で、なんか1ヶ所だけ違う。　（0000→0001）ってところ…

>>40
どうみてもJavaとjavascriptが一緒になってる文脈な訳だが

あまくだりIPA