一般社団法人 JPCERT コーディネーションセンター http://jvn.jp/cert/JVNTA13-010A/
> JVNTA13-010A: Oracle Java 7 に脆弱性
Adobe Reader の無効化ついでに、無効化して回って3カ月。
NoScript や EMET 3 に頼るのでは危ないかもと思いまして。それで、これが今まで特に苦情も出ないと云う。(w
自分も、脆弱性チェックする時くらいしか使ってないし、ほんと使っているサイトってあんまり無いのですねぇ。
(図1)
Java Runtime Environment (JRE) 7 をコントロールパネルから無効化するの図。
(画像サイズ 47.09 KB)
一応、64 bit 版の方も実行しておきます。
こちらはコントロールパネルからではなく、"%ProgramFiles%\\Java\jre7\bin\javacpl.exe" を直接実行します。
(関連)
SANS Internet Storm Center https://isc.sans.edu/diary/Java+is+still+exploitable+and+is+likely+going+to+remain+so+/14899
> ISC Diary | Java is still exploitable and is likely going to remain so.
SANS Internet Storm Center https://isc.sans.edu/diary/More+Java+Woes/14179
> ISC Diary | More Java Woes
※ Ullrich さん曰く、"- Uninstall Java if you don't need it." とか。
SANS Internet Storm Center https://isc.sans.edu/tag.html?tag=java
> Diaries by Keyword | SANS Internet Storm Center; Cooperative Network Security Community - Internet Security
※ 2012 年に Java 関係の記事は、17 件。
・・・
Oracle http://www.java.com/ja/download/manual.jsp
> 全オペレーティング・システムのJavaのダウンロード一覧
※ "推奨 Version 7 Update 10"、となってます。(w
・・・
http://d.hatena.ne.jp/TsuSUZUKI/20121212/1355298168
※ 「Java Runtime Environment (JRE) 7 Update 10 リリースノート」、 セキュリティベースライン 1.7.0_09 のまま。
http://d.hatena.ne.jp/TsuSUZUKI/20121017/1350476479
※ 「Java Runtime Environment (JRE) 7 Update 9 リリースノート」、非IE用プラグインのインストールに難あり。
http://d.hatena.ne.jp/TsuSUZUKI/20121110/1352540189
※ 「Adobe Reader Xに脆弱性、ウイルス作成者に悪用可能な形で発見される 」、こっちもサンドボックス突破の事例。
http://d.hatena.ne.jp/TsuSUZUKI/20120710/1341986443
※ 「官公庁電子入札システム 2012」、もうね、実質「入札専用」です。
(追記@2013/01/12)
Secunia Advisories http://secunia.com/advisories/51820/
> Oracle Java Unspecified Code Execution Vulnerability
※ "CVE-2013-0422" 。
いじょうです。
-
- -