Post view

Adobe Illustratorを開くには、Java SE 6ランタイムが必要

Adobe Illustrator CS6を開くには、Java SE 6ランタイムが必要です。今すぐインストールしますか?j実はJavaを絶対にインストールしないで下さい!

javase601.jpg

インストールをクリックする。そして「同意する」をクリックする。

javase602.jpg

Javaをインストール中...インストールは簡単だけど、アンインストールが面倒になる!

javase603.jpg

インストールされた!

javase604.jpg

やっと不良品Adobe Illustrator CS6が使えるようになった。

javase605.jpg

javase606.jpg

ところが、Javaを使ってはいけないんだ!


~ コンピュータウイルス感染経路 第1位 ~

Java 旧バージョン ⇒ 危険物・爆弾

Java の開発元は悪用される欠陥を直した最新版を提供してるので、これを適用しとけば問題は起こらんのですが、困ったことに旧バージョンのまま更新しないで放置するダメダメなユーザーさんがいるんです。


セキュリティの専門家が講演で「使っていないのならJavaは削除すべき」と述べたそうだ(ITmedia)。

Javaには頻繁にセキュリティ面での脆弱性が発見されており、頻繁にアップデートも提供されているものの、古いバージョンのJavaの実行環境が放置されていることも多いとし、不要であればJavaを削除し、必要になったときに再度最新版をインストールするよう述べたとのこと。


PCの安全のためには「Java」はもういらない!?

この講演で「自宅のPCにはとにかくまずEMETを」と力説したセキュリティ企業ラックの川口洋チーフエバンジェリストは、「もし使っていないのならば、Javaはもう削除してもいいんじゃないか」とも指摘します。

 ここでいうJavaとはWindowsやMacといったプラットフォームに依存することなく使えるアプリケーションを実行するための「実行環境」を指します。攻撃者はこのJavaをしつこく狙っています。その理由は「セキュリティの欠陥を残したままの古いJavaを放置している利用者が多いから」。

 読者の皆さんの中にもJavaのバージョンアップのお知らせが画面右下にポップアップされてるのに、よく分からないからと無視している人はいませんか? もしも使っていないならば、安全のためにJavaを削除してしまいましょう。Javaアプリケーションを使う必要が出てくれば、そのときに最新版をインストールすればよいだけのことです。

 PCの世界において、攻撃がなくなることはありません。PCを安全に使うためには守るためのツールを入れることだけでなく、自分には必要のないアプリを消すことも対策となり得るのです。


Java の脆弱性を悪用する攻撃が急速に猛威 - 偽セキュリティソフトの被害が倍増も

2010年に大きく話題になった「ガンブラー攻撃」を筆頭に、企業や団体の正規 Webサイトの一部を改ざんし、Webサイトを閲覧したユーザに不正プログラム感染を誘発する攻撃手法は「Webからの脅威」の典型例として攻撃者の常套手段になっています。

2011年後半から「ガンブラー攻撃」や「ライザムーン攻撃」のような大規模なサイト改ざんは鳴りを潜めていますが、サイト改ざんそのものがなくなったわけではありません。トレンドマイクロのサポートセンターには改ざんされたサイトの閲覧がきっかけと見られる被害報告が継続しています。

■最終的には偽セキュリティソフトや FTP の情報が漏えいするおそれ
2012年1月後半から特に急増しているのが、Java の脆弱性を悪用した不正プログラムに関連する被害報告です。攻撃の流れは下記の通りで、特に目新しい点はありません。

  1. 改ざんされた正規 Webサイトを閲覧する
  2. 埋めこまれた不正プログラムにより別の URL に転送される
  3. 転送された先で Java の脆弱性を利用した不正プログラムが実行される
  4. 他の不正プログラムと連携して最終的に偽セキュリティソフトや情報収集型の不正プログラムをダウンロードさせられる

最終的にダウンロードされる偽セキュリティソフトは、図1の「Internet Security」など複数確認されており、個人ユーザにおいては前月比約 2倍となる 201件の被害報告がありました。


使ってはいけない!Java 6の脆弱性を悪用する攻撃が発生!!

今回はサポートが終了したJava 6に関する投稿です。

Java 6のサポートに関しては、すでに2013年2月にて打ち切りとなっていますが、ここ最近に入りJava 6の脆弱性を悪用した攻撃が発生しているようですね。


Javaに新たな「ゼロデイ」の脆弱性、既に悪用攻撃も横行

悪名高い「Blackhole」や「Nuclear Pack」などのツールキットが既にこの脆弱性を悪用しているという。US-CERTはWebブラウザでJavaを無効にする対策を奨励している。

米セキュリティ機関のUS-CERTは1月10日、「Java 7 Update 10」までのバージョンに未解決の深刻な脆弱性が見つかったとして、セキュリティ情報を公開した。この脆弱性を突いた攻撃も既に横行しているという。

 US-CERTによると、脆弱性は「Java Management Extensions(JMX) MBean」コンポーネントに存在する。攻撃者がこの問題を悪用して細工を施したHTML文書をユーザーに閲覧させることにより、リモートから認証を受けずに任意のコードを実行できてしまう恐れがあるという。

 共通脆弱性評価システムCVSSによる深刻度評価は、ベーススコアで最高値の「10.0」。この脆弱性を突くコードも既に一般に公開されている。セキュリティ企業Kaspersky LabのニュースサービスThreatpostによると、悪名高い脆弱性悪用ツールキットの「Blackhole」や「Nuclear Pack」が、この脆弱性を突いた攻撃機能を取り入れたと発表。さらに、脆弱性検証ツール「Metasploit」の作者も、この脆弱性を突くモジュールを同日中にMetasploitに追加する予定だと話しているという。

 現時点でOracleのパッチは公開されていない。Javaの次回定例パッチは2月19日に公開予定。Java 7 Update 10では、Javaコントロールパネルの設定を使ってWebブラウザ内でのJavaコンテンツを無効にできる機能が加わっており、US-CERTではこの機能を使ってWebブラウザでJavaを無効にする対策を奨励している。

 SANS Internet Storm Centerの専門家はこの問題に関連して、「もしJavaを必要とするビジネスクリティカルアプリケーションがあれば、代替を見つけた方がいい。これが最後の脆弱性になるとは思えず、BlackholeのようなエクスプロイトキットがJavaに注目している現状では、今後も悪用は続くだろう」と指摘している。


Oracle、Javaのアップデート公開

米Oracleは1月13日、Java 7 Update 10以前で指摘されていた脆弱性を修正する「Java 7 Update 11」を公開した。同社Webサイトからダウンロードできる。

 脆弱性が存在するのはJava 7 Update 10以前で、Java SE JDKおよびJRE 6には影響しない。悪用されれば任意のコードを実行される可能性がある上に、この脆弱性を悪用する攻撃コードが出回っていることから、セキュリティ機関が注意を呼び掛けていた。

 このアップデートでは、脆弱性の修正とともに、Javaコントロールパネルにおけるセキュリティレベルの初期設定も変更。これまでの「中(M)」から「高(H)」に変更することで、署名が付いていないアプレットを実行しようとすると、警告が表示されるようになる(このため、既存アプリケーションの動作に影響が生じる可能性もある)。Oracleではユーザーに対し、早期のアップデートを呼び掛けている。

 なおImmunityの情報によると、攻撃コードは2つの脆弱性を組み合わせて利用するものであり、Oracleがリリースしたパッチはうち1つを修正するものであると指摘。出回っている攻撃を当面食い止める上でJava 7 Update 11の適用は有効だが、新たに未知の脆弱性が発見された場合はその限りではないという。

 今後も未知の脆弱性が発見される可能性もあることから、US-CERTでは、Java 7 Update 11にアップデートするとともに、必ずしもJavaを必要としない環境ではWebブラウザの設定を変更し、Javaを無効にしておくことを推奨している。


Java 7に未パッチの脆弱性、すでに攻撃も発生

US-CERTは米国時間の1月10日、Java 7 Update 10以前に、任意のコード実行につながる深刻な脆弱性が存在することを報告し、注意を呼び掛けた。まだOracleからはパッチは提供されていない一方で、すでにこの脆弱性を悪用したコードが出回っているという。

 脆弱性が存在するのは、Java Management Extensions(JMX)MBeanコンポーネントだ。この脆弱性を悪用すると、信頼できないJavaアプレットからでもSecurity Managerのファンクションを呼び出し、権限を昇格できてしまう。最終的には、例えば細工を施したWebページを閲覧するだけで、リモートから任意のコードを実行できてしまうおそれがある。CVSSによる深刻度評価は、最高値の「10.0」となっている。

 すでに、「Blackhole」「Cool」といったツールキットで、この脆弱性を悪用するコードが実装されている。

 日本時間の1月11日時点では、Oracleによる修正パッチは提供されていない。US-CERTでは、Webブラウザの設定を変更し、Javaを無効にする回避策を取るよう推奨している。Internet Storm Center(ISC)はブログの中で、今後もこうした脆弱性が発見される可能性に言及し、「もし、Javaを必要とするビジネスクリティカルアプリケーションがあれば、代替策を見つける方がいい」と述べている。

進藤ヒカル 2014/01/29 0 5532
Comments
Order by: 
Per page:
 
  • There are no comments yet
Rate
0 votes
Post info
進藤ヒカル
写真を撮りまくる
2014/01/29 (3711 days ago)
Actions