Java 7の新機構に重大な欠陥!?全セキュリティが無効に!?
Oracle Java fails at security in new and creative ways | Naked Security
Oracle Java における新たなセキュリティの失策 - 09 - 2013 - Security News and Press Coverage - ソフォス
Java 6 の Update どこかに落ちてないか探してたら、 Java 7 update 40で採用された新しいセキュリティ機構に重大な欠陥があるって記事を見つけたよ ・ω・; ひー
| Oracle Java で、セキュリティ問題を引き起こす新たな方法がまたしても採用されました。
Jerry Jongerius 氏は、名前と URL の両方を偽造することが可能であることを発見しました。つまり、Oracle 社が採用した方法に問題があるということになります。 この夏発見された Android の「マスターキー」の脆弱性と同様、アプリケーションの署名の欠陥をマルウェア作成者が利用して、不正アプレットをロードさせることが可能です さらに悪いことに、署名付き Java アプレットは完全な権限により実行され、Java の特長となっているサンドボックスモデルの利点がほとんど排除されてしまいます。 Oracle 社は Java のセキュリティを補強するために、さらなる見当違いな試みを展開しようとしているのです。 Oracle 社では、Java アプレットの署名のための証明書を持つ企業が、期限切れアプレットのポリシーに署名できるように意図しています。これにより、Java のより新しいバージョンを実行するデバイスで許可されなくとも、セキュリティが低い状態でアプレットの実行が可能になります。 何ということでしょうか。 不正アプレットを使って PC や Mac にマルウェアを配信する攻撃者にとっては、夢のような機能です。 これはセキュリティ警告を無効化する手段であり、サイバー犯罪者に対する抑止効果はまったくない一方で、ほとんどの組織にとっては管理と配備が複雑すぎます。 当然、この機能がもたらすセキュリティのメリットは、通常の Java ユーザーにとっては皆無であり、また企業ユーザーにとっても皆無と言っていいでしょう。 なお悪いことに、すべてのユーザーがインストールしている Java (十分に新しいバージョンの場合) が、この「機能」を利用する攻撃に対して脆弱になります。 ポリシーを含むパッケージに電子署名を付けるだけで、ほとんどのセキュリティ制限が無効化されるのです。 |
| 現在すべての署名アプリケーションを信頼することができますが、信頼されたサンドボックスを削除する方法はありません |
…っておいおい
要するに、9月頭に発見された、電子署名が偽造できる不具合と、今回 Java 7 Update 40でホワイトリストで電子署名があるものを無効にする機能を使ってしまうと、電子署名が偽造された悪意のあるアプレットが簡単に実行されてしまうわけですね・ω・;
まだ、Java 7の Reflection API に関する脆弱性直ってないとかいうレベルじゃなくて、Java 6 Update 51 / 60 以外は超危険 という事態に…もう、Oracle 何がやりたいのかわからないですね
Java 6 Update 45以前とJava 7 は無効にするかアンインストール!
[Java]個人情報漏洩の序曲 旧版Apache Strutsに複数の脆弱性
Java 6 update 51 のインストーラーがこっそり公開されてる
Translate
オラクル社内ではどんな様相なのか、覗いてみたいですね。
「どうでもいい。我々は、スケジュール通りに動いているだけだ」と一蹴されそうですが。
オラクル社内ではどんな様相なのか、覗いてみたいですね。
「どうでもいい。我々は、スケジュール通りに動いているだけだ」と一蹴されそうですが。