定例外です。 Security Fix の模様。 CVE-2016-0636 。
8u73 、8u74 の次は 8u77 です。 8u78 は出ていないようです。
8u81 ではないのですね。
インストール時に、旧版は自動でアンインストールされます。
ブラウザーで無効の設定にしたまま上書きすると、無効のままとなります。セキュリティタブのレベルなども変更されません。
8u73 から更新したところ、64 bit 版 ( x64 ) も同時に更新されます。
(図2)
JRE 8u77 インストーラー。
( 画像サイズ 30.65 KB )
(図3)
JRE 8u77 バージョン情報。
( 画像サイズ 14.52 KB )
※ 内部バージョンは、1.8.0_77-b03 。
リリースノート:
(英語)
Oracle http://www.oracle.com/technetwork/java/javase/8u77-relnotes-2944725.html
> Java™ SE Development Kit 8, Update 77 Release Notes
※ Security Baseline は、 1.8.0_77 。
オーバービュー:
Oracle http://www.oracle.com/technetwork/java/javase/overview/index.html
> Java SE | Oracle Technology Network | Oracle
アドバイザリー:
Oracle http://www.oracle.com/technetwork/topics/security/alert-cve-2016-0636-2949497.html
> Oracle Security Alert CVE-2016-0636
Oracle http://www.oracle.com/technetwork/topics/security/whatsnew/
> Security
※ " Critical Patch Update Advisory " によると、次は "19 April 2016" の模様。
Oracle http://www.oracle.com/technetwork/jp/topics/alerts-082677-ja.html
> Critical Patch UpdatesとSecurity Alerts
※ 未更新。 ( アーカイブ )
Oracle http://www.oracle.com/technetwork/topics/security/whatsnew/index.html
> Security
※ 未更新。 ( アーカイブ )
Oracle http://java.com/ja/download/installed.jsp
> Java のバージョンの確認
ブログ:
Oracle https://blogs.oracle.com/security/
> The Oracle Software Security Assurance Blog
Oracle https://blogs.oracle.com/security/entry/security_alert_cve_2016_0636
> Security Alert CVE-2016-0636 Released (The Oracle Software Security Assurance Blog)
Oracle http://www.oracle.com/technetwork/java/javase/downloads/
> Java SE - Downloads | Oracle Technology Network | Oracle
※ SSL/TLS ですと、上記へリダイレクト。 無理矢理接続すると Akamai さんでオレオレ証明書。
Oracle http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html
> Java SE Runtime Environment 8 - Downloads
Oracle https://www.oracle.com/webfolder/s/digest/8u77checksum.html
> Java SE 8u77 Binaries Checksum
Oracle http://www.java.com/ja/download/manual.jsp
> 全オペレーティング・システム用のJavaのダウンロード
※ "推奨 Version 8 Update 77" 。 バイナリーは http://sdlc-esd.oracle.com/ 配下に。
内部バージョンは、1.8.0_77-b03 、ディジタル署名の拇印は、"3b 75 81 6d 15 a6 d8 f4 59 8e 9c f5 60 3f 18 39 ee 84 d7 3d" 。
SHA-2 署名ですが、ダイジェストは SHA-1 。 前バージョン と同じです。
( 証明書の有効期限は、2018/04/14 まで。VirusTotal は以下。 8u77 32bit 、 検出率: 1 / 57 。 8u77 64bit 、 検出率: 1 / 57 。 )
Oracle https://javadl-esd-secure.oracle.com/update/blacklist
> Blacklist Entries
※ ただし、SHA1-Digest 。 変更なし。
Oracle http://www.oracle.com/technetwork/java/archive-139210.html
> Oracle Java Archive | Oracle Technology Network | Oracle
(関連)
インストーラーの直リンク:
http://download.oracle.com/otn-pub/java/jdk/8u77-b03/jre-8u77-windows-x64.exe
※ 要認証。有効期限不詳。 以下同じ。
http://download.oracle.com/otn-pub/java/jdk/8u77-b03/jre-8u77-windows-i586.exe
http://download.oracle.com/otn-pub/java/jdk/8u77-b03/jre-8u77-macosx-x64.dmg
※ VirusTotal 、検出率: 0 / 53 。 サイズが大きくて限界ギリギリ。
・・・
Oracle http://www.oracle.com/technetwork/java/javase/downloads/eol-135779.html
> Oracle Java SE Support Roadmap
※ "(Updated May 14, 2015)" のまま。 ( アーカイブ )
Oracle http://www.oracle.com/technetwork/java/javase/overview/jdk-version-number-scheme-1918258.html
> Java SE - Change in Version Numbering Scheme March 2013
・・・
一般社団法人 JPCERT コーディネーションセンター https://www.jpcert.or.jp/at/2016/at160015.html
> Oracle Java SE の脆弱性 (CVE-2016-0636) に関する注意喚起
インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20160324_749794.html
> Javaに深刻な脆弱性、早急な修正パッチの適用を -INTERNET Watch
ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/articles/1603/24/news089.html
> Javaのアップデート公開、リモートコード実行の脆弱性に対処 - ITmedia エンタープライズ
So-netブログ http://security-t.blog.so-net.ne.jp/2016-03-24-2
> オラクル、脆弱性を修正した「JRE 8 Update 77」公開:セキュリティ通信:So-netブログ
SANS Internet Storm Center https://isc.sans.edu/forums/diary/Abusing+Oracles/20875/
> Abusing Oracles - SANS Internet Storm Center
※ Java のお話ではないです。
Secunia Advisories https://secunia.com/advisories/69487/
> Security Advisory SA69487 -
> Oracle Java SecurityManager Security Bypass Vulnerability - Secunia
※ "CVE-2016-0636" 、"Release Date: 2016-03-10" 。 うぉ、見落としてた。
・・・
トレンドマイクロ http://blog.trendmicro.co.jp/archives/6526
> Javaゼロデイ脆弱性の緊急修正プログラム公開−ユーザは早期適用を |
> トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)
※ "Java が不要な場合には、Java 自体をアンインストールすることも一つの選択肢です。"
・・・
ブロードバンド通信速度測定サイト http://speed.rbbtoday.com/
> スピードテスト | ブロードバンド通信速度測定サイト:speed.rbbtoday.com
Mozilla Foundation https://addons.mozilla.org/ja/firefox/blocked/
> ブロックされているアドオン :: Add-ons for Firefox
※ " March 18, 2016: Flash Player Plugin 20.0.0.286 to 20.0.0.306 (click-to-play) " まで。 ( アーカイブ )
・・・
http://d.hatena.ne.jp/TsuSUZUKI/20160207/1454854991
※ Java Runtime Environment (JRE) 8 Update 73
http://d.hatena.ne.jp/TsuSUZUKI/20160315/1458055822
※ 「 官公庁電子入札システム 2016 」 、 8u25 か 7u15 でお願い、だそうで。
http://d.hatena.ne.jp/TsuSUZUKI/20160314/1458051788
※ JRE 8u71 と javaws.exe プロセスの無限個数起動 2016
いじょうです。
-
- -
