2005年11月30日

Javaプラグインの脆弱性が出ています

Sun MicrosystemsのJavaで5種類の脆弱性の修正がありました。外部から攻撃を受ける可能性がありました。危険度は「非常に重大(highly critical)」と5段階中上から2番目の危険度で、「外部からの侵入を可能にし、システム全体を改ざんできるようにしてしまう。」らしいです。このJavaとはJavaScriptを指すのではなく、Javaアプレット等を動かす物を指しています。危険度が高いため、早めにアップデートしましょう!

対象機種は、Windows、Linux、Solarisで、Java Runtime Environment(JRE)、Java Development Kit(JDK)、Sun Java Software Development Kit(SDK)がインストールされているコンピュータ。

対象バージョンは、1.3.1_15以前、1.4.2_08以前、5.0 Update 3(JRE1.5.0_03)以前です。

 Javaに危険度「高」のぜい弱性,アプレットからファイルの書き込みや実行が可能に (IT Pro)
 SunのJava実行環境に複数の脆弱性 - 危険度は「高」 (MYCOM PC WEB)
 サン、Javaの深刻なセキュリティ問題5件に対応 (CNET Japan)
 SunのJavaプラグインに脆弱性〜Secunia報告 (INTERNET Watch)

JREとはJavaを実行するための土台です。この土台を各OS別に用意すれば土台がOSの違いを吸収して、WindowsでもLinuxでも他のOSでも同じような動作を行う事ができるという考えです。そして、JDK、SDKとはJavaのソフトを開発するためのものです。ですので、一般の人はJRE(Java Runtime Environment)を選んで貰えばいいと思います。


ダウンロードサイト(IT Proより)
・JDK/JRE 5.0:
JDK/JRE 5.0 Update 4以上へのアップデートを推奨する(ダウンロード・サイト

・SDK/JRE 1.4.x:
SDK/JRE 1.4.2_09以上へのアップデートを推奨する(ダウンロード・サイト

・SDK/JRE 1.3.x:
SDK/JRE 1.3.1_16以上へのアップデートを推奨する(ダウンロード・サイト


あれ? 最初、どこかでこの情報を見た時、「以前のバージョンはアンインストールを推奨」のような文章を見て驚いたんですけど・・・どこにもないですね?? うーん・・・見間違いだったのかな?
Javaは基本的には上書きインストールしません。最新はJRE 1.5.0_05でバージョンと同様のフォルダ名でインストールされますが、以前はJRE 1.5.0_04で同じくバージョンと同様のフォルダ名でインストールされています。Java等では動作環境を明確に指定して、動作を安定させるという考えがあり、上書きインストールを好みません。そのため、危険な状態の以前のバージョンを削除しなさいと言っているのかと思い、驚いたんですけど。。。忘れて下さい〜。


バージョン確認方法ですが、私はWindowsユーザなのでそれだけを・・・2つ方法があります。

1.スタートメニューから、コマンドプロンプト、または、MS-DOSプロンプトを起動して下さい。主にアクセサリの欄にあると思います。コマンドプロンプトの黒い画面上で、「 java -version 」と入力してエンターを押して下さい。下記のようなJavaが何チャラ・・・って出てくればインストール済みです。下の画面は「java version "1.5.0_05"」と書いてあるので、JRE1.5.0_05と判ります。「コマンドはありません」等のメッセージが出てくればインストールされていないねという扱いですね。

Javaバージョンプロンプト

JRE1.5.0_05は、上のダウンロードサイトのJRE 5.0の扱いになります。このバージョンから、1.5ではなく5.0という書き方に変わっており混乱しそうです。最後の「_05」の部分が、Update 5 という意味になります。これが「1.5.0_03」等の低い場合はバージョンアップ対象となります。判りづらいですけど、我慢してください!


2.コントロールパネルに「Java」があればそれを起動し、基本タブにある製品情報 → バージョン情報ボタンを押せば下記の画面が出てきます。
Javaバージョンパネル

真ん中ぐらいに、ビルド 1.5.0_05-b05とありますので、JRE 1.5.0 Update 5という認識になります。昔のバージョンを覚えていないので、このチェック方法はいつから出来るか判りません〜

このパネルのアップデートに「今すぐアップデート」ボタンがありますがこれは違うみたいですね。JRE 1.5.0_04の時に押すと最新と言われました。。。JRE 1.5.0_04の中でのマイナーバージョンアップ・・・なんでしょうか??


バージョンが対象の場合、ダウンロードサイトからインストールすれば完了です。IE等は特に問題ありませんが、Javaを使用するソフトは各ソフト毎に設定が必要かも知れません。これは各自ですので、頑張って下さい!
この記事へのコメント
藍旋さん、こんばんわ。

蛇足ながら、MacOS Xのセキュリティアップデートも本日公開されてます〜。
safariの脆弱性や管理者特権が取得できてしまう脆弱性が修正されています。
Macユーザの方は、アップデートしましょう。

参考記事(MYCOM PC WEB)
http://pcweb.mycom.co.jp/news/2005/11/30/033.html

修正詳細(アップルホームページ-英語)
http://docs.info.apple.com/article.html?artnum=302847-ja
Posted by みあ at 2005年11月30日 22:56
みあせん、こんばんわ〜♪
Macはよく知らないんですけど、結構怖い内容がアップされてますね。。。

いつも思うんですけど、一度、Safariって使ってみたいんですよ〜。Mac使いの人が「Safariあれば別に他のブラウザ使う気にはならない」って言うじゃないですか!

そこまで言わせるSafari・・・興味津々です!
Posted by 藍旋 at 2005年11月30日 23:19
私はまだMacビギナーなので、Safariは使いにくかったりする・・・(^^;
今日からFirefox使ってますし(笑)

しかも、SafariでここのRSSを読み込もうとすると何故かフリーズするんですよねぇ。
他に巡回してるblogのRSSは全然問題ないんですけど・・・(^^;

Windowsに慣れた身にとって、Macはなかなか手強いです!(w
Posted by みあ at 2005年11月30日 23:37
みあせん、こんばんわ〜♪
そうだったんですね〜!
やっぱりMacユーザのたしなみとして、Safariを使ってからでないと・・・ですよぉ(*ノノ)

そういうのありますよねー? 私もあるサイトのRSSはいつも解析エラーになっちゃうとかありました。確かExciteのブログとかで、特別とは思えなかったんですけど。。。不思議です。

私はLinuxを覚えないと・・・と、思いつつ、それほど自宅では用途が無いので、お勉強が進みません。玄箱のパワーアップしないとデス(ノ_・。)
Posted by 藍旋 at 2005年12月01日 00:02
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

※半角英数字のみのコメントは投稿できません。

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。