Opera 総合スレッド Part141

このエントリーをはてなブックマークに追加
577名無しさん@お腹いっぱい。
Full Disclosure: Java Deployment Toolkit Performs Insufficient Validation of Parameters
http://seclists.org/fulldisclosure/2010/Apr/119

operaが扱うのはbin\new_plugin\npdeploytk.dllだから、それへのアクセスをできないようにすれば
…のか?
578名無しさん@お腹いっぱい。:2010/04/13(火) 20:50:47 ID:6q7RaMdR0
ttp://my.opera.com/community/forums/topic.dml?id=516181

おっと、Operaヲタには脆弱性の3文字はタブー、だったかな。。悪かった
579名無しさん@お腹いっぱい。:2010/04/13(火) 20:57:15 ID:6q7RaMdR0
>>577
真面目な奴がいて嬉しいな。

Operaのプログラムフォルダの中、defaultsフォルダにplugin-ignore.iniてのがあるから、
そこに次の1行を追加する。これでいい筈。

npdeploytk.dll=Java Deployment Toolkit

(=の後ろは適当でいいと思うが)

あと、Spyboy S&Dの免疫が効いてると[SpybotSD Backup]というセクションが出来るみたいだが、
自分で追記する場合は、その下を避けたほうがいいと思うぜ
580名無しさん@お腹いっぱい。:2010/04/13(火) 21:01:01 ID:+NE3rSR/0
>>540
思わずフォローしてしまった
581名無しさん@お腹いっぱい。:2010/04/13(火) 21:01:18 ID:sLBjbcn60
>>577-578
基本的にはJavaのプログラムフォルダにあるjavaws.exeのアクセス権を読み取り実行拒否に
してやればこの脆弱性の影響は受けなくなるはず。
(javaws.exeはWindowsのシステムフォルダにもコピーがあるが、こちらはたぶん関係ない)

javaws.exeをブロックしてもローカルのJavaアプリやWebコンテンツとしてのJavaアプレットは
問題なく動くから、一般的な用途で不便を感じることはまずないと思う。
582579:2010/04/13(火) 21:03:30 ID:6q7RaMdR0
スマソ。ちょっと間違った。

[SpybotSD Backup]の上か下か、じゃなく、[Plugins to Ignore]セクションに追記、だ。
大ボケかまして悪かったの、皆さん
583名無しさん@お腹いっぱい。:2010/04/13(火) 21:09:01 ID:6q7RaMdR0
>>581
正解だと思うけど、パッチがリリースされて新しいJREを入れるときは
その設定を元に戻すのを忘れないことが大事だな。

うっかりさんが半べそかく姿が目に浮かんで来た。杞憂に終わらないことを祈ってる。

まぁ、各ブラウザ個別に処置するにしても、IE向けにKillBit立てたらやっぱり更新時にトラブルしなぁ。
どっちがいいかは分からんよなぁ。

俺はブラウザ上でしかJava使う機会なさそうだから、さっさと本体アンインストールしちまったw
584名無しさん@お腹いっぱい。:2010/04/13(火) 21:20:17 ID:sLBjbcn60
>>583
俺はあなたの言うところの「うっかりさん」だからこそ、こちらの方法をとったんだ。
主要ブラウザは一通り入れてあるし、個別に設定なんてしたら元に戻すときが面倒くさいw