Appleが脆弱性修正のためにJava 6アップデートを公開
Appleが脆弱性修正のためにJava 6アップデートを公開
※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
Appleは、Mac OS X Snow Leopard、OS X Lion、およ OS X Mountain Lion 用の Java 6における 重大なアップデートを公開しました。
このパッチは、Java SE 6 のバー ジョンをバージョン1.6.0_35 にアップデートし、「セキュリティの大きな改善が 期待できる」とされます。
Appleは、Snow Leopard 用に Java for Mac OS X 10.6 Update 10 を、そして Lion および Mountain Lion 用に Java for OS X 2012-005 を公開しました。
それぞれ、ウェブブラウザが自動的に Java アプレットを実行しないように構成する事で、Java SE 6 プラグインの悪用される可能性がある脆弱性を解決します。
Apple のサポートサイトによれば、「どのアプレットも長期間実行されなかった場合は、Java Web プラグインが無効になります」としています。
このアップデートは、OracleがJavaバージョン7の脆弱 性のためにパッチした先週のJavaゼロデイエクスプロイト、CVE-2012-4681を追いかけるように公開されました。
Oracle のパッチは、すでに攻撃されている脆弱性を修正するためのスケジュール外のアップデートでしたが、その結果報告されていない他のバグが悪用される可能性を生じさせる新たなセキュリティ問題を引き 起こしたのかも知れません。
Adam Gowdiakは、 Bugtraq で Java SE 7アップデート7に影響する新たなセキュリティ問題について詳細に書いています:
先週の Tweet に書いた通り、Java ゼロ デイエクスプロイトは Java 7 をインストールした OS X のユーザだけに関係します。
これまで同様、これらのアップデートは、システム環境設定のソフトウェアアッ プデート画面、あるいは Appleのソフトウェアダウンロードページから入手可能 です。
By Derek Erwin on September 6, 2012
出典:Intego Security Blog
Twitter:@IntegoSecurity
Mountain Lion 対応!!
ウイルスバリア X6
(ウイルス対策、不正アクセス対策、情報漏洩対策、iPhoneやiPad・iPodTouchのスキャンにも対応)
・ウイルスバリア X6 の特設ページを見る
・製品詳細を見る
インターネットセキュリティバリア
(ウイルスバリア X6 に加え、迷惑メール対策やバックアップツールなどが加わった総合セキュリティソフト)
・製品詳細を見る
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support
※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
Appleは、Mac OS X Snow Leopard、OS X Lion、およ OS X Mountain Lion 用の Java 6における 重大なアップデートを公開しました。
このパッチは、Java SE 6 のバー ジョンをバージョン1.6.0_35 にアップデートし、「セキュリティの大きな改善が 期待できる」とされます。
Appleは、Snow Leopard 用に Java for Mac OS X 10.6 Update 10 を、そして Lion および Mountain Lion 用に Java for OS X 2012-005 を公開しました。
それぞれ、ウェブブラウザが自動的に Java アプレットを実行しないように構成する事で、Java SE 6 プラグインの悪用される可能性がある脆弱性を解決します。
Apple のサポートサイトによれば、「どのアプレットも長期間実行されなかった場合は、Java Web プラグインが無効になります」としています。
このアップデートは、OracleがJavaバージョン7の脆弱 性のためにパッチした先週のJavaゼロデイエクスプロイト、CVE-2012-4681を追いかけるように公開されました。
Oracle のパッチは、すでに攻撃されている脆弱性を修正するためのスケジュール外のアップデートでしたが、その結果報告されていない他のバグが悪用される可能性を生じさせる新たなセキュリティ問題を引き 起こしたのかも知れません。
Adam Gowdiakは、 Bugtraq で Java SE 7アップデート7に影響する新たなセキュリティ問題について詳細に書いています:
Java 6 をお使いの Mac ユーザには、Oracle の緊急 Java 7 パッチで見つかった Sandbox バイパス問題は関係ありません。公開されたアップデートに含まれている修正の一つが、 sun.awt.SunToolkit クラスを利用した攻撃の可能性を生じさせました。
前出のクラスから getField と getMethod メソッドを除去する事で、我々のコンセプト検証 用 Sandbox バイパス・コードがまったく動作しなくなりました […]。
我々は、コンセプト検証用コードとともにセキュリティ脆弱性レポートを Oracle に送りました。
コードは、最新のJava SE ソフトウェア(2012年8月30日に公開 されたバージョン7アップデート7)環境で、完全な JVM Sandbox バイパスを実行します。
その目的は、まだ発表されていないバグの悪用を可能とする新たなセキュリティ問題が見つかった事です。
先週の Tweet に書いた通り、Java ゼロ デイエクスプロイトは Java 7 をインストールした OS X のユーザだけに関係します。
これまで同様、これらのアップデートは、システム環境設定のソフトウェアアッ プデート画面、あるいは Appleのソフトウェアダウンロードページから入手可能 です。
By Derek Erwin on September 6, 2012
出典:Intego Security Blog
Twitter:@IntegoSecurity
Mountain Lion 対応!!
ウイルスバリア X6
(ウイルス対策、不正アクセス対策、情報漏洩対策、iPhoneやiPad・iPodTouchのスキャンにも対応)
・ウイルスバリア X6 の特設ページを見る
・製品詳細を見る
インターネットセキュリティバリア
(ウイルスバリア X6 に加え、迷惑メール対策やバックアップツールなどが加わった総合セキュリティソフト)
・製品詳細を見る
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support