取締役平社員ブログ (ベータ版)

パソコン ( PC ) を安全に使えるような何かごとを徒然と書いてみたいと思います。　　

　－無責管理－

　　　当ページ記事により不具合、問題が発生した場合でも責任をもちません。

　　 ● 情報セキュリティ系勉強会ポータルサイト 　

　

セキュリティ・キャンプ

　(セキュリティ・キャンプ実施協議会) 　　

　

Java Runtime Environment (JRE) 7 Update 17 リリースノート

コンピュータ

唐突ですが、Security Fix 。CVE-2013-1493 ほか対応です。

バージョン 7 系列で更新をかけると、確かに7u17 ~~7u15~~となりました。

JavaFX は 2.2.7 のままです。

6 系列も 6u43 になります。前月で EOL だったハズなのですけれど。(w

旧版は自動でアンインストールされます。

ブラウザーで無効の設定にしたまま上書きすると、無効のままとなります。セキュリティタブのレベルなども変更されません。

同様にブラウザーで無効の設定にしたまま上書きすると、Firefox に Java Console と Deployment Toolkit はインストールされません。

(図2)

JRE 7u17インストーラー。
JRE 7u17 インストーラー。
(画像サイズ 27.41 KB)

(図3)

JRE 7u17 バージョン情報。
(画像サイズ 16.98 KB)

リリースノート:

(英語)

Oracle http://www.oracle.com/technetwork/java/javase/7u17-relnotes-1915289.html
> Java™ SE Development Kit 7 Update 17 Release Notes

↑セキュリティベースライン 1.7.0_17 。CVE-2013-1493 ( Assigned (20130130) ) へ対応。

オーバービュー:

Oracle http://www.oracle.com/technetwork/java/javase/overview/
> Java SE at a Glance

アドバイザリー:

Oracle http://www.oracle.com/technetwork/topics/security/whatsnew/
> Security

※ "Critical Patch Update Advisory" に記載。

Oracle http://www.oracle.com/technetwork/topics/security/alerts-086861.html
> Critical Patch Updates and Security Alerts

Oracle http://www.oracle.com/technetwork/topics/security/alert-cve-2013-1493-1915081.html
> Security Alert CVE-2013-1493

※ CVE-2013-0809 ( Assigned (20130105) ) にも対応した模様。

ブログ:

Oracle https://blogs.oracle.com/security/entry/security_alert_cve_2013_1493
> Security Alert CVE-2013-1493 Released
> (The Oracle Software Security Assurance Blog)

ダウンロードサイト:

Oracle http://www.oracle.com/technetwork/java/javase/downloads/
> Java SE Downloads

Oracle http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html
> Java SE Downloads

Oracle http://www.java.com/ja/download/manual.jsp
> 全オペレーティング・システム用のJavaのダウンロード

※ "推奨 Version 7 Update 17 " 。

内部バージョンは、1.7.0_17-b02 、ディジタル署名の拇印は、"9e 2b 73 43 3c 7f f0 be 9c 2e 54 6c 46 a3 d1 6a 6c da cf 32" 、前バージョンと同じです。

( 証明書の有効期限は、2013/07/07 まで。VirusTotal は以下順に。7u17 32bit、検出率: 0 / 46 。7u17 64bit 、検出率: 0 / 46 。 )

Oracle http://www.oracle.com/technetwork/java/javase/downloads/jre6downloads-1902815.html
> Java Runtime Environment 6 Downloads

※ 6 Update 43 ( 6u43 ) 。先月で EOL のハズです。

Oracle http://www.oracle.com/technetwork/java/javafx/downloads/index.html
> JavaFX GA downloads

※ 2.2.7 で変わらず。

(関連)

インストーラーの直リンク:

http://download.oracle.com/otn-pub/java/jdk/7u17-b02/jre-7u17-windows-i586.exe

※ 要認証。有効期限不詳。( VirusTotal、検出率: 0 / 46 )

http://download.oracle.com/otn-pub/java/jdk/7u17-b02/jre-7u17-windows-x64.exe

※ 要認証。有効期限不詳。( VirusTotal、検出率: 0 / 46 )

・・・

Oracle http://jdk8.java.net/fxarmpreview/index.html
> JDK 8 (with JavaFX) for ARM Early Access ― Java.net

・・・

情報処理推進機構 http://www.ipa.go.jp/security/ciadr/vul/20130305-jre.html
> 情報セキュリティ：Oracle Java の脆弱性対策について(CVE-2013-1493)

一般社団法人 JPCERT コーディネーションセンター https://www.jpcert.or.jp/at/2013/at130014.html
> 2013年3月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起

SecurityFocus http://www.securityfocus.com/bid/58238
> Oracle Java Runtime Environment CVE-2013-1493 Remote Code Execution Vulnerability

※ "Feb 28 2013" 付け。

FireEye http://blog.fireeye.com/research/2013/02/yaj0-yet-another-java-zero-day-2.html
> Malware Intelligence Lab from FireEye - Research & Analysis of Zero-Day & Advanced Targeted Threats:
> YAJ0: Yet Another Java Zero-Day

※ "2013.02.28" 付け。

SANS Internet Storm Center https://isc.sans.edu/diaryarchive.html?year=2013&month=3
> ISC Diary Archive | SANS Internet Storm Center; Cooperative Network Security Community - Internet Security

※ ヘッドラインのみ。

Secunia Advisories http://secunia.com/advisories/52451/
> Security Advisory SA52451 - Oracle Java Two 2D Component Vulnerabilities - Secunia

Secunia Advisories http://secunia.com/advisories/52484/
> Security Advisory SA52484 - Apple Mac OS X update for Java - Secunia

※ Macintosh 版 Java も影響を受けます。

Mozilla Foundation https://blog.mozilla.org/security/2013/01/11/protecting-users-against-java-vulnerability/
> Protecting Users Against Java Vulnerability | Mozilla Security Blog

Mozilla Foundation https://blog.mozilla.org/security/2012/10/11/click-to-play-plugins-blocklist-style/
> Click-to-Play Plugins, Blocklist-Style | Mozilla Security Blog

トレンドマイクロ http://blog.trendmicro.co.jp/archives/6526
> Javaゼロデイ脆弱性の緊急修正プログラム公開−ユーザは早期適用を |
> トレンドマイクロセキュリティブログ（ウイルス解析担当者による Trend Micro Security Blog）

※ "Java が不要な場合には、Java 自体をアンインストールすることも一つの選択肢です。"

インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20130305_590379.html
> 「Java 7 Update 17」公開、既に悪用が確認されている脆弱性を修正 -INTERNET Watch

・・・

http://d.hatena.ne.jp/TsuSUZUKI/20130220/1361371511

※ Java Runtime Environment (JRE) 7 Update 15 リリースノート

いじょうです。

- -