最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆ACCS、公式サイト内に「著作権Q&Aコーナー」をオープン(2013/01/18) | メイン | ◆子どものオンラインゲーム利用、高額請求のトラブルも(国民生活センター)(2013/01/21) »

2013/01/18

◆JRE最新版に残る問題~「無効化」「ブラウザ使い分け」「削除」の検討を(2013/01/18)

 オラクルでは14日にJRE(Java Runtime Environment:Java実行環境)の最新版「JRE 7 Update 11」を公開したが、最新版に更新後も注意が必要であることを16日付の本記事でお伝えした。対策としてユーザーができることをまとめたので、検討いただきたい。

■最新版に残る問題とは

最新版では、直近に行われていた攻撃は防げるようになったが、問題が残っているため、これを悪用する新たな攻撃が始まる懸念がある。トレンドマイクロは17日付の公式ブログで、この問題について解説している。
同ブログによると、7 Update 11で修正された「CVE-2013-0422」「CVE-2012-3174」の2件の脆弱性のうち、「CVE-2013-0422」に対する修正プログラムは、完全な修正ではない。この脆弱性には2つの問題が含まれており、そのうち1つは修正されたが、もう1つの問題は残されたままとなっている。残っている問題を単体で悪用することはできないが、誰かがこれと組み合わせることができる新たなバグを見つけ、攻撃を始める懸念がある。

・Javaのゼロデイ脆弱性の最新修正プログラムに問題発覚(トレンドマイクロ公式ブログ)
http://blog.trendmicro.co.jp/archives/6551
・CVE-2013-0422 (under review)[英文](CVE)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0422
・CVE-2012-3174 (under review)[英文](CVE)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3174

■ユーザーができる対策~「JREの無効化」「ブラウザ使い分け」「削除」

 JREの脆弱性は、パソコンをウイルスに感染させる手段としてしばしば使われる。ユーザーにできる対策として、まず、自分のパソコンにJREを入れておく必要があるかどうかを考えよう。JREが必要なのは、次の場合だ。

(1) Javaアプリケーションを使っている
 Javaアプリケーションとは、プログラミング言語Javaで書かれたソフトウエアのことで、自分のパソコンに保存して利用する。有名なものとしては、OpenOfficeが挙げられる。
(2) Javaアプレットを使うサイト/サービスを利用している
 アプレットとは、ブラウザ内で動くアプリケーションのこと。オンラインゲーム、チャット、株価やFXのチャート、電子申請システムなどのサイト/サービスでJavaアプレットが使われている。

 (1)、(2)ともに当てはまらない場合は、JREは必要ないので削除を検討しよう。

(1) のみ当てはまる場合は、JREを常に最新版にし、ブラウザでJavaが動かないようにする。ブラウザでJavaを無効にするには、コントロールパネルの「Javaコントロール・パネル」を開き、「セキュリティ」タブを選択。「ブラウザでJavaコンテンツを有効にする」のチェックを外す。この操作で、すべてのブラウザでJavaが無効になる。

 (2) が当てはまる場合は、上記の操作を行ってブラウザでJavaを無効にしておき、必要な時のみ有効にする。または、Javaを無効にしたブラウザと、有効にしたブラウザの両方を用意して使い分ける。

 ブラウザの使い分けをする場合は、Javaを無効にしたブラウザを既定のブラウザ(メールや文書内のリンクをクリックしたときに開くブラウザ)として設定しておき、通常はこちらを使用する。必要な時のみ、Javaを有効にしてある別のブラウザを使おう。こうしないと、メールや文書に含まれるリンクから、Javaの脆弱性を突く悪質なサイトに誘導されるのを防ぐことができない。

ブラウザごとにJavaコンテンツを無効化する方法は、オラクルの資料「WebブラウザでJavaを無効にするにはどうすればよいですか」を、Windowsで既定のブラウザを設定する方法についてはマイクロソフトの資料(いずれも下記)を、参照いただきたい。

(2013/01/18 ネットセキュリティニュース)

【関連URL:オラクル】
・WebブラウザでJavaを無効にするにはどうすればよいですか。
http://java.com/ja/download/help/disable_browser.xml

【既定のプログラムの変更方法:マイクロソフト】
<Windows 8>
・Windowsの既定のプログラムを選択する
http://windows.microsoft.com/ja-JP/windows-8/choose-programs-windows-uses-default
<Windows 7>
・Windowsの既定のプログラムの変更
http://windows.microsoft.com/ja-JP/windows7/Change-which-programs-Windows-uses-by-default
<Windows Vista>
・既定のプログラムの変更
http://windows.microsoft.com/ja-JP/windows-vista/Change-which-programs-Windows-uses-by-default
<Windows XP>
・デフォルトのプログラムの変更方法およびプログラムへのアクセスを有効または無効にする方法
http://support.microsoft.com/kb/332003

投稿情報: 10:19 |

|