2013年1月13日(日)、Oracleが最新の「Java 7 Update 11」を公開しています。
これは、先週発見されたOracle Java 7 Update 10およびそれ以前のバージョンにある深刻な脆弱性に対応したのです。
■ 公式ブログ:Security Alert for CVE-2013-0422 Released (The Oracle Software Security Assurance Blog) (Jan 13, 2013)
■ java.com: あなたと Java / 全オペレーティング・システムのJavaのダウンロード一覧
【Abroのひとりごと】今回見つかった脆弱性を悪用したWindows、Linux、UNIXシステムへの攻撃が確認されているようです。Mac OS Xへの攻撃は確認されていませんが、Appleはこれを速やかにブロックする対策をとっていたようです。(CNET Japan)
(by Abro)
【関連記事】
【Apple Brothers - 関連記事】
これは、先週発見されたOracle Java 7 Update 10およびそれ以前のバージョンにある深刻な脆弱性に対応したのです。
■ 公式ブログ:Security Alert for CVE-2013-0422 Released (The Oracle Software Security Assurance Blog) (Jan 13, 2013)
Oracle has just released Security Alert CVE-2012-0422 to address two vulnerabilities affecting Java in web browsers. These vulnerabilities do not affect Java on servers, Java desktop applications, or embedded Java. The vulnerabilities addressed with this Security Alert are CVE-2013-0422 and CVE-2012-3174. These vulnerabilities, which only affect Oracle Java 7 versions, are both remotely exploitable without authentication and have received a CVSS Base Score of 10.0. Oracle recommends that this Security Alert be applied as soon as possible because these issues may be exploited “in the wild” and some exploits are available in various hacking tools.■ Oracle: JDK 7u11 Release Notes
■ java.com: あなたと Java / 全オペレーティング・システムのJavaのダウンロード一覧
【Abroのひとりごと】今回見つかった脆弱性を悪用したWindows、Linux、UNIXシステムへの攻撃が確認されているようです。Mac OS Xへの攻撃は確認されていませんが、Appleはこれを速やかにブロックする対策をとっていたようです。(CNET Japan)
(by Abro)
【関連記事】
- Engadget: Oracle patches Java exploits, toughens its default security levels (Jan 14th, 2013 at 2:37 AM)
- Apple, Oracle move quickly to mitigate Java security flaw | ZDNet (January 14, 2013 -- 06:24 GMT (22:24 PST))
- Oracle Patches Java Vulnerability - John Paczkowski - News - AllThingsD (JANUARY 14, 2013 AT 12:01 AM PT)
- Oracle updates Java, security experts say bugs remain - Yahoo! News (Reuters)
- Oracle ships Java 7 Update 11 with vulnerability fixes, increased security level for Java applets - The Next Web (14 JAN '13)
- Oracle patches widespread Java zero-day bug in three days (Updated) | Ars Technica (Jan 14 2013, 9:30am JST)
- Oracle、Java 7 Update 11を公開 脆弱性に対処 - ITmedia ニュース(2013年01月14日 11時11分 更新)
Oracleが1月13日の日曜日に、10日に発覚した「Java 7 Update 10」の深刻な脆弱性に対処するアップデートを公開した。
- Oracle、Java SE 7u11を公開 | スラッシュドット・ジャパン デベロッパー(2013年01月14日 16時51分)
- ASCII.jp:無効化か、アップデート必須!Java 7に緊急度の高い脆弱性(2013年01月14日 14時00分更新)
脆弱性に対処したJava 7 Update 11を13日に公開
- MozillaやApple、Javaの未解決の脆弱性に対処 Javaプラグインを無効に - ITmedia ニュース(2013年01月13日 16時50分 更新)
Firefoxは「Click To Play」機能を使って、ユーザーがクリックしない限りJavaプラグインがロードされないようにした。AppleもJava 7を無効にする措置を取ったもようだという。
- MozillaやApple、Javaの未解決の脆弱性に対処 Javaプラグインを無効に - ITmedia エンタープライズ(2013年01月13日 16時50分 更新)
Firefoxは「Click To Play」機能を使って、ユーザーがクリックしない限りJavaプラグインがロードされないようにした。AppleもJava 7を無効にする措置を取ったもようだという。
一方、Mac専門のセキュリティソフトメーカーIntegoによれば、AppleもMac OS Xのウイルス対策コンポーネント「XProtect」を更新し、Oracleがこの脆弱性を修正するまでの間、Java 7を無効にする措置を取ったもようだという。 - Oracle Releases Java 7 Update 11 in Response to Vulnerability - The Mac Observer (7:25 PM EST, Jan. 13th, 2013)
- Oracle releases software update to fix Java vulnerability | Security & Privacy - CNET News (January 13, 2013 3:43 PM PST)
- Oracle Corp to fix Java security flaw shortly | Reuters (Sat Jan 12, 2013 7:21pm EST)
- AppleInsider: Oracle's fix for zero-day Java flaw to be available 'shortly' [update: released] (Saturday, January 12, 2013, 09:13 pm)
- Oracle Corp to fix Java security flaw "shortly" - Yahoo! News (Reuters – Sat, Jan 12, 2013)
- Apple Takes Action To Block Java Security Flaw On Macs | Apple Bitch(January 12, 2013)
- 「Java 7」の新たな脆弱性、「Windows」や「UNIX」に影響 - CNET Japan(2013/01/12 12:31)
新しいトロイの木馬「Mal/JavaJar-B」が発見された。Mal/JavaJar-Bは、Oracleの「Java 7」の脆弱性を悪用し、最新バージョンのランタイム(7u10)にも影響を与えるという。
- 朝日新聞デジタル:Java、外部から攻撃の恐れ 米の公的機関が警告 - テック&サイエンス(2013年1月12日23時5分)
- Apple Blocks Java 7 Plug-in on OS X to Address Widespread Security Threat - Mac Rumors (Friday January 11, 2013 10:34 am PST)
- AppleInsider: Zero-day flaw prompts Apple to block Java 7 from OS X (Friday, January 11, 2013, 03:12 pm)
- Javaに新たな「ゼロデイ」の脆弱性、既に悪用攻撃も横行 - ITmedia ニュース(2013年01月11日 07時25分 更新)
悪名高い「Blackhole」や「Nuclear Pack」などのツールキットが既にこの脆弱性を悪用しているという。US-CERTはWebブラウザでJavaを無効にする対策を奨励している。
- Javaに新たな脆弱性、すでにゼロデイ攻撃が発生 - CNET Japan(2013/01/11 10:10)
米コンピュータ緊急事態対策チーム(US-CERT)は米国時間1月10日に警告を発し、「Java 7 Update 10」およびそれ以前のバージョンのソフトウェアにある種の脆弱性が含まれており、悪用されれば認証されていないリモート攻撃者に任意のコードを実行されてしまうおそれがあると述べた。この攻撃は、セキュリティホールを利用する悪意のあるコードが仕組まれたウェブサイトをユーザーが訪問した場合に行われる可能性がある。
- Javaに新たなゼロデイ脆弱性――悪用した攻撃も確認 | セキュリティ・マネジメント | トピックス | Computerworld - エンタープライズITの総合ニュースサイト(2013年01月11日)
一部の脆弱性悪用キットで、すでに同脆弱性を突いた攻撃が実装
- Javaに未修正の新たな脆弱性、既に悪用する攻撃も出回る -INTERNET Watch(2013/1/11 12:04)
【Apple Brothers - 関連記事】
- 【ソフトウェア・アップデート】Apple、OS X Lion 10.7/Mountain Lion 10.8向けに「Java for OS X 2012-006」と「Java for Mac OS X 10.6 Update 11」をリリース。(10/17)(October 17, 2012)
Comment
コメントを投稿する
コメントする