Javaのセキュリティ機能は攻撃を阻止できない? セキュリティ企業が報告
米OracleがJavaに実装したセキュリティ対策について、「不正なJavaアプレットなどを使ってユーザーが気付かないうちに仕掛けられる攻撃を阻止できないことが分かった」とセキュリティ企業が伝えている。この情報は、ポーランドのセキュリティ企業Security Explorationsが1月27日にセキュリティメーリングリストの「Full Disclosure」に投稿した。
問題にしているのは、Oracleが2012年12月に公開した「Java SE 7 Update 10」に盛り込んだセキュリティ強化措置。同アップデートでは無署名のJavaアプレットなどの扱いについて4段階のセキュリティレベルを設定できるようになり、最高レベルの「Very High」に設定すると無署名のアプリの実行が阻止されるようになった。
さらに、1月にリリースした最新版の「Java 7 Update 11」では、セキュリティレベルの初期設定を「中(M)」から「高(High)」に変更し、無署名のJavaアプリを実行しようとすると警告メッセージが表示されるようにした。
しかし、Security Explorationsはこうしたセキュリティ対策について、「理論上のものに過ぎず、実際にはセキュリティレベルの設定に応じた警告メッセージを表示させることなく、無署名の悪質なJavaコードを実行することが可能」だと主張する。
実際に同社は、セキュリティレベルの設定にかかわりなく、無署名のJavaコードをWindows上で実行することに成功したと報告。同社は先に、Java 7 Update 11の未解決の脆弱性を発見したと伝えており、Windows 7上でセキュリティレベルを「Very High」に設定した状態で、この脆弱性が悪用できることを実証したとしている。
結論としてSecurity Explorationsは、Java SE 7のセキュリティ機能が強化されても、不正なJavaプラグインを使ってユーザーが気付かないうちに仕掛けられる攻撃を防ぐことはできないと解説。Javaコンテンツが必要な場合は、一部のWebブラウザが実装している「Click to Play」を活用することを勧めている。
2013年 1月29日
参照Itmedia
日本オラクル
1977年、Oracleはデータベース管理システムソフトで起業し現在では業務アプリケーション市場で積極的なM&A(合併・買収)を展開しながらアプリケーション・サーバ、そしてミドルウェアへと徐々にラインナップを拡充しながらレイヤを上り、顧客企業が必要とするIT導入を全面的に支える随一の企業となっている。
日本オラクルについて
IT業界、コンサルティング業界の最新ニュースをお伝えします。最先端の業界で何がどう動いているのかをWatchすることで、広くビジネス界全体の今後の動きを展望することができるはずです。
Warning: include(../../naviadd.html): failed to open stream: No such file or directory in
/home/consul-movin/www/it-movin.co.jp/view/news/headline.php on line
183
Warning: include(): Failed opening '../../naviadd.html' for inclusion (include_path='.:/usr/local/php/5.6/lib/php') in
/home/consul-movin/www/it-movin.co.jp/view/news/headline.php on line
183
Warning: include(../../seminar_box.html): failed to open stream: No such file or directory in
/home/consul-movin/www/it-movin.co.jp/view/news/headline.php on line
186
Warning: include(): Failed opening '../../seminar_box.html' for inclusion (include_path='.:/usr/local/php/5.6/lib/php') in
/home/consul-movin/www/it-movin.co.jp/view/news/headline.php on line
186
Warning: include(../../job_box.html): failed to open stream: No such file or directory in
/home/consul-movin/www/it-movin.co.jp/view/news/headline.php on line
189
Warning: include(): Failed opening '../../job_box.html' for inclusion (include_path='.:/usr/local/php/5.6/lib/php') in
/home/consul-movin/www/it-movin.co.jp/view/news/headline.php on line
189
Warning: include(../../footaddobi.html): failed to open stream: No such file or directory in
/home/consul-movin/www/it-movin.co.jp/view/news/headline.php on line
200
Warning: include(): Failed opening '../../footaddobi.html' for inclusion (include_path='.:/usr/local/php/5.6/lib/php') in
/home/consul-movin/www/it-movin.co.jp/view/news/headline.php on line
200
Warning: include(../../foot.html): failed to open stream: No such file or directory in
/home/consul-movin/www/it-movin.co.jp/view/news/headline.php on line
204
Warning: include(): Failed opening '../../foot.html' for inclusion (include_path='.:/usr/local/php/5.6/lib/php') in
/home/consul-movin/www/it-movin.co.jp/view/news/headline.php on line
204
Warning: include(../../head.html): failed to open stream: No such file or directory in
/home/consul-movin/www/it-movin.co.jp/view/news/headline.php on line
212
Warning: include(): Failed opening '../../head.html' for inclusion (include_path='.:/usr/local/php/5.6/lib/php') in
/home/consul-movin/www/it-movin.co.jp/view/news/headline.php on line
212
Warning: include(../../menu.html): failed to open stream: No such file or directory in
/home/consul-movin/www/it-movin.co.jp/view/news/headline.php on line
217
Warning: include(): Failed opening '../../menu.html' for inclusion (include_path='.:/usr/local/php/5.6/lib/php') in
/home/consul-movin/www/it-movin.co.jp/view/news/headline.php on line
217