5

本日、当社のエンタープライズ アーキテクトは、JRE 1.7 に最近の脆弱性が発見されたと述べました。Java の無効化を推奨する JRE 1.7 の脆弱性に関する記事を見つけました。

私は職場で JDK 1.5 と 1.6 を実行しているので (多くの組織と同様に、最新のテクノロジを使用していません)、問題はありません。

自宅では Java SE 7u6 で開発を行っています。私はGrails、Spring Securityで遊んで、学び続けようとしています。

ホーム開発マシンのすべてのブラウザーで Java Plug-in を無効にしました。ただし、JDK 7 がインストールされているために、私のホーム開発マシンがまだ脆弱であるかどうかを知っている人はいますか? US-CERT で、脆弱性の通知を宣言している次の記事を見つけました: Oracle Java JRE 1.7 Expression.execute() fails to restrict access to privilegesed code

ブラウザがアプレットを実行できない限り、問題ないように思えました (Java Plug-in を無効にしてはいけません)。しかし、Java Web Start/JNLP はどうでしょうか。それは呼び出されますか?それが、アプレット以外に考えられる唯一の懸念事項です。

Java SE 7 をアンインストールして JDK6 に戻すという作業を行う必要があるかどうか疑問に思っています。

JRE 1.7 のこのセキュリティ問題を知って、他の人は何をしましたか?

4

2 に答える 2

3

最新の脆弱性の詳細は公開されていません。ただし、Java ブラウザー プラグインにのみ影響するというのが私の理解です。推奨される軽減策は、Java ブラウザー プラグインを無効にすることです。プラグイン以外の Java については言及されていないため、Java 7 がインストールされているという単純な理由で、開発マシンが脆弱ではないと想定しても安全だと思います。

しかし、Java Web Start/JNLP はどうでしょうか。それは呼び出されますか?

私はそうは思わない。問題を発見した人々は、その潜在的な攻撃ベクトルを考えていたと考えて間違いないと思います。(しかし、単純な常識では、そもそもランダムな JNLP プログラムを起動したくないと言われています...)

于 2012-08-29T02:02:40.887 に答える
1

感染するには悪意のあるサイトにアクセスする必要があるかのように理解しています。いいえ、ブラウザに Java 7 がインストールされているという理由だけで危険にさらされることはありません。

いくつかの便利なリンク:

  • 脆弱性を説明する US-CERT リンク:

http://www.kb.cert.org/vuls/id/636312



  • セキュリティ アラートへの Oracle リンク (Java だけでなく、Java も含む):

http://www.oracle.com/technetwork/topics/security/alerts-086861.html



この記事を書いている時点 (2012 年 8 月 30 日) では、Oracle がこれについてまだ警告を発しているようには見えません。パッチが作成された後にのみそのようなアラートを発行するかどうかはわかりません。US-CERT サイトによると、Oracle は 2012 年 8 月 29 日に正式に警告を受けましたが、脆弱性に関するブログ レポートが 29 日の数日前に開始されたため、彼らはすでにそれを知っていた可能性があります。

オラクルのサイトで読めるのは、次回の「Java SE Critical Patch Update」が 2012 年 10 月 16 日に予定されているということです。確かに彼らはそれを待たずに、この脆弱性のアウトオブバンド パッチをできるだけ早くリリースします。(彼らは以前にそうしました)

于 2012-08-30T10:46:47.873 に答える