予定通り、日本時間 2013/10/16(水) にリリースされています。
Security Fix 及び機能拡張。7u40 の次は 7u45 です。
Java コントロール・パネルから更新をかけると、確かに 7u45 となりました。何故か MSXML4 をインストール時に要求されます。
インストール時に、旧版は自動でアンインストールされます。
ブラウザーで無効の設定にしたまま上書きすると、無効のままとなります。セキュリティタブのレベルなども変更されません。
同様にブラウザーで無効の設定にしたまま上書きすると、Firefox に Java Console と Deployment Toolkit は無効のままです。
click-to-play 対応 の模様。これで常時有効化しておいても何とかなります。
(図1)
JRE 7u45 インストーラー。
(画像サイズ 26.44 KB)
(図2)
JRE 7u45 バージョン情報。
(画像サイズ 17.16 KB)
JRE 7u45 で提供された 新しい manifest 属性 へ、click-to-play が対応した 模様です。
ブロードバンド通信速度測定サイト に行くと click-to-play のウィンドウが出ます。
(図3)
click-to-play が JRE に対応 ( NoScript ) 。
(画像サイズ 26.57 KB)
(図4)
click-to-play が JRE に対応 ( NoScript - 1 Click 後 ) 。
(画像サイズ 26.86 KB)
(図5)
click-to-play が JRE に対応 ( NoScript - 2 Click 後 ) 。
(画像サイズ 31.91 KB)
(図6)
click-to-play が JRE に対応 ( 実行結果 - 3 Click 後 ) 。
(画像サイズ 25.71 KB)
ちなみに Oracle さんの Java のバージョンの確認 ページではこんな感じ。↓
(図7)
click-to-play が JRE に対応 ( Java のバージョンの確認 ページ ) 。
(画像サイズ 32.34 KB)
(図8)
click-to-play が JRE に対応 ( Java のバージョンの確認 ページ 実行結果 ) 。
(画像サイズ 32.34 KB)
※ 警告レベルの差は、署名の有無と種類に依るようです。
Java コントロール・パネルから、セキュリティ・プロンプトの復元 も出来るようです。
(図9)
JRE 7u45 CPL セキュリティ・プロンプトの復元(R) 。
(画像サイズ 32.34 KB)
リリースノート:
(英語)
Oracle http://www.oracle.com/technetwork/java/javase/7u45-relnotes-2016950.html
> Java™ SE Development Kit 7 Update 40 Release Notes
※ Security Baseline は、1.7.0_45 へ更新。期限切れ (Expiration Date) は "02/14/2014" 。
※ Blacklist Entries 対応など。
※ 追加 attribute に "Application-Name"、"Caller-Allowable-Codebase" 、"Application-Library-Allowable-Codebase" 。
※ JAXP (Java API for XML Processing) に 新 processing limits "FEATURE_SECURE_PROCESSING" 。max 値設定など。
※ java.util.TimeZone が SecurityException に対応。
オーバービュー:
Oracle http://www.oracle.com/technetwork/java/javase/overview/
> Java SE at a Glance
アドバイザリー:
Oracle http://www.oracle.com/technetwork/topics/security/whatsnew/
> Security
※ "Critical Patch Update Advisory" によると、次は "14 January 2014" の模様。
Oracle http://www.oracle.com/technetwork/topics/security/alerts-086861.html
> Critical Patch Updates and Security Alerts
※ Database 製品などと統合。"Java SE Critical Patch Update" の欄は未更新。
Oracle http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html#AppendixJAVA
> Oracle Critical Patch Update - October 2013
※ "127 new security fixes (including 51 Java fixes)" で Java の方は予定通り。総数は +1 。
Oracle http://java.com/ja/download/installed.jsp
> Java のバージョンの確認
ブログ:
Oracle https://blogs.oracle.com/security/
> The Oracle Software Security Assurance Blog
Oracle https://blogs.oracle.com/security/entry/october_2013_critical_patch_update
> October 2013 Critical Patch Update Released (The Oracle Software Security Assurance Blog)
Oracle http://www.oracle.com/technetwork/java/javase/downloads/
> Java SE Downloads
Oracle http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html
> Java SE Downloads
Oracle http://www.java.com/ja/download/manual.jsp
> 全オペレーティング・システム用のJavaのダウンロード
※ "推奨 Version 7 Update 45" 。
内部バージョンは、1.7.0_45-b18 、ディジタル署名の拇印は、"9f 75 a0 b1 4c 12 5f 80 69 46 ae e6 a5 4e 97 a1 d8 c1 b9 ed" 、前バージョン と同じです。
( 証明書の有効期限は、2016/08/07 まで。VirusTotal は以下順に。7u45 32bit、 検出率: 0 / 47 。7u45 64bit 、検出率: 0 / 48 。 )
Oracle http://www.oracle.com/technetwork/java/javase/downloads/jre6downloads-1902815.html
> Java Runtime Environment 6 Downloads
※ 6 Update 45 ( 6u45 ) で EOL 。ただし、Security Baseline は 1.6.0_65 へアップ。
Oracle http://www.oracle.com/technetwork/java/javafx/downloads/index.html
> JavaFX GA downloads
※ 2_2_xx のリンクは無し。
Oracle https://javadl-esd-secure.oracle.com/update/blacklist
> Blacklist Entries
※ ただし、SHA1-Digest 。
(関連)
インストーラーの直リンク:
http://download.oracle.com/otn-pub/java/jdk/7u45-b18/jre-7u45-windows-i586.exe
※ 要認証。有効期限不詳。( VirusTotal、検出率: 0 / 47 )
http://download.oracle.com/otn-pub/java/jdk/7u45-b18/jre-7u45-windows-x64.exe
※ 要認証。有効期限不詳。( VirusTotal、検出率: 0 / 48 )
・・・
Oracle https://wikis.oracle.com/display/OpenJDK/JDK+8
> JDK 8 - OpenJDK - Oracle Wiki
Oracle http://www.oracle.com/technetwork/java/javase/overview/jdk-version-number-scheme-1918258.html
> Java SE - Change in Version Numbering Scheme March 2013
※ 7u25 の次は 7u40 (n=40) で開始、n+5 → (n+10)+1 → (n+10)+5 → (n+20)+1 → (n+20)+5 → ・・・ → (n+20*m)+1 → (n+20*m)+5 。
・・・
SANS Internet Storm Center https://isc.sans.edu/diary/Oracle+releases+Oracle+Critical+Patch+Update+Advisory/16817
> ISC Diary | Oracle releases Oracle Critical Patch Update Advisory
SANS Internet Storm Center https://isc.sans.edu/diary/Java+Quarterly+Updates/16811
> ISC Diary | Java Quarterly Updates
IPA 独立行政法人 情報処理推進機構 http://www.ipa.go.jp/security/ciadr/vul/20131016-jre.html
> Oracle Java の脆弱性対策について(CVE-2013-5782等):IPA 独立行政法人 情報処理推進機構
一般社団法人 JPCERT コーディネーションセンター https://www.jpcert.or.jp/at/2013/at130043.html
> 2013年10月 Oracle Java SE のクリティカルパッチアップデート (定例) に関する注意喚起
Secunia Advisories http://secunia.com/advisories/55315/
> Oracle Java Multiple Vulnerabilities - Secunia
SecurityFocus http://www.securityfocus.com/bid/63103
> Oracle Java SE CVE-2013-5782 Remote Security Vulnerability
※ 他多数。
インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20131016_619584.html
> 「Java SE」のクリティカルパッチ公開、51件の脆弱性を修正 -INTERNET Watch
※ "次回CPUの公開日は2014年1月14日で、以降のスケジュールは4月15日、7月15日、10月14日。 "
トレンドマイクロ http://blog.trendmicro.co.jp/archives/6526
> Javaゼロデイ脆弱性の緊急修正プログラム公開−ユーザは早期適用を |
> トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)
※ "Java が不要な場合には、Java 自体をアンインストールすることも一つの選択肢です。"
・・・
ブロードバンド通信速度測定サイト http://speed.rbbtoday.com/
> スピードテスト | ブロードバンド通信速度測定サイト:speed.rbbtoday.com
Mozilla Foundation https://addons.mozilla.org/ja/firefox/blocked/p463
> ブロックされたアドオン :: Add-ons for Firefox
※ "October 18, 2013 にブロックされました"
・・・
http://d.hatena.ne.jp/TsuSUZUKI/20131013/1381643055
※ Oracle Critical Patch Update Pre-Release Announcement - October 2013
http://d.hatena.ne.jp/TsuSUZUKI/20130911/1378928671
※ Java Runtime Environment (JRE) 7 Update 40 リリースノート
http://d.hatena.ne.jp/TsuSUZUKI/20130629/1372515798
※ 続・Java Runtime Environment (JRE) 7 Update 25 リリースノート
http://d.hatena.ne.jp/TsuSUZUKI/20130618/1371557543
※ Oracle Java Critical Patch Update - June 2013
いじょうです。
-
- -