※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
Javaには、まだまだ問題が山積みです。そしてAppleおよびMozillaは、その被害を食い止めるために再び行動に出ました。
この1月初旬には、Javaの最新版で出回っていた重大なゼロデイ攻撃に対応し、両社は、Javaブラウザプラグイ ンを無効にしました。Oracleも、積極的に悪用されていた穴を塞ぐために素 早くアップデートを公開しました。しかし、彼らにとっても、Javaにとっても、 それで問題が解決したわけではありませんでした。
このアップデート公開の直後には、もう研究者がアップデート自体の問題を指摘 しています。
このJavaアップデートは攻撃には対処しましたが、問題の原因であった2つの脆弱性は修正しなかったのです。
そこで、Mozillaは、そのClick to Play機能にJava 7u11を追加しました。
これでJavaコンテンツは自動再生されず、事前にユー ザのクリックによる認証が必要となります。
7u11アップデートでは、Oracleも署名のないJavaアプレットにクリックが必要となるよう、セキュリティ設定を強化しました。しかし予想された通り、研究者はこの保護を擦り抜ける方法を見つけ出しました。
Oracle上層部も、Javaセキュリティがおかれた酷い現状を認識し始めています。
OracleのJavaセキュリティのリーダであるMilton Smith氏は、セキュリティ問題 解決のためのOracleの努力について広く周知できるようにコミュニケーションを改善すると発表しました。
そして、Javaブラウザプラグインを完全に修正するプロセスは長期間に及びそうなの で、Appleは、再びXProtectでJavaプラグインをブロックすることにしまし た。:
こうした周囲の動きに反応して、Oracleがブラウザ用Javaを修正する速度を上げることに期待します。現状では、Javaはサイバー犯罪者の最高のターゲットの1つです。
多くの既知の脆弱性が放ったらかしでありながら、膨大な数の主なオペレーティングシステムにインストールされています。もっとも、主要なウェブブラウザのメーカがプラグインをブロックし続け、ユーザがJavaなしでの生活に慣れれば、この状況も変わることでしょう。
Posted on January 31st, 2013 by Lysa Myers
出典:Intego Security Blog
Twitter:@IntegoSecurity
Mountain Lion 対応!!
15年に渡りMac専用として進化し続けて来たのはIntego 社の Mac 用セキュリティソフト だけです。
Intego 製品についてもっとよく調べる
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support
0 件のコメント:
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。