Ari's Blog

Reading makes me rich !

Posts Tagged ‘Java

Apple、Java applet plugin を OS X から削除

leave a comment »

Apple removes Java applet plugin from OS X, continuing push for plugin-free web | 9to5Mac.

この判断は「当然」と言える判断だと思う。Windows では、Oracle の Java を入れると、勝手に Java のプラグインが入ってデフォルトで有効になってしまう。この設定はインストール中にユーザに何らのダイアログも出力せずに、そうなってしまう。

この夏の終わりからの Java の脆弱性があまりにもクリティカルな物が連続して発見され、このデフォルトでインストールされて有効になってしまう Java のプラグインを私は無効にしまくった。ほとんどのユーザが必要としないものだし、実際私も使わないし、知らぬ間に脆弱なブラウザになってしまうリスクがあるので、Java のプラグインはデフォルトで無効にすべきでしょう。そもそもインストール時にインストールする/しないをユーザに確認すべきだし、確認のダイアログもデフォルトでは「インストールしない」導線を基本とすべきだ。

なので、今回の Apple の対応には賛成だ。使いたい人は、Oracle のサイトへ行けばダウンロード/インストールして利用できるようになるわけだし。

Written by arito

2012-10-19 at 00:02

カテゴリー: Apple

Tagged with

Java、10 億台の Mac、PC ユーザに影響する脆弱性

leave a comment »

Java security — New exploit could affect 1 billion Mac and PC users.

Java に再び 0-day 脆弱性があるとのこと。5 – 7 の全ての Java バージョンに影響し、10 億台の Mac、PC に影響がある、とのこと。

まぁ要するに、好むと好まざるとに限らず、Java がインストールされている Mac、PC は全部ってことみたい。

既に Oracle へ報告していて、今後のセキュリティアップデートでパッチが適用される予定とのこと。「next Java security update」ではなく、「in a future Java security update」ってことだ。

現時点でこの脆弱性を利用した攻撃は観察されていないが、ここ最近 Java のセキュリティホール情報が熱い。

8月の下旬の騒ぎで、私は利用している Linux、Mac、Windows 全ての端末を自宅、会社限らず、ブラウザの Java プラグインは徹底的に無効にしたので、今回の件でも落ち着いて Oracle のパッチ提供を待つのみ。

Written by arito

2012-09-27 at 22:48

カテゴリー: セキュリティ

Tagged with

Google が Java を Objective C へ変換するツールをオープンソースで公開

leave a comment »

Google releases Java to iOS Objective C translator | 9to5Mac.

Google が、Java コードを Objective C へ変換するツールをオープンソースとして公開したらしい。

Android のアプリを作るときは Java だけど、それを iOS 用にリリースするには、Objective C で1から実装し直さなければならなかったところを、このツールを使えば、Java のコードを Objective C に変換できる。

「そのまま使える」ということはないだろうが、1から作るのと、ベースとなるものがあるかでは、完成までの工程はだいぶ楽になるのではないだろうか?

もちろん、変換後の Objective C のコードが、英語/日本語翻訳レベルに「こりゃ使えない…」レベルでない前提だけど。Objective C の達人から見てそれなりのものなのかどうか?は分からない。達人がいたら、是非その変換後の出来栄えの評価を教えて欲しい。

Written by arito

2012-09-14 at 08:56

カテゴリー: Google, iPhone

Tagged with , ,

最新の Java にすると、強制的にプラグインを無効化(Apple)

leave a comment »

アップル、最新「Java」アップデートでプラグインを強制的に無効化|Computerworld.

この判断は賢明な判断だと思う。Java をインストールする理由が、必ずしも(というかほとんどの場合)ブラウザで Java のプラグインを動作させたい、というものではないはずだからだ。

仮に、Java に連続で大穴が見つからなかったとしても、ほとんどの人が使わないものは、デフォルト無効で、必要な人が意図的に有効にすれば良いと思う。

特に、Java のプラグインの場合、ブラウザのプラグインを単独で入れることはできないし、どちらかと言うと、Java をインストールすると、知らぬ間にデフォルトでブラウザのプラグインがインストールされ有効化される構造になっているから。

Written by arito

2012-09-11 at 09:01

カテゴリー: Apple, セキュリティ, Mac

Tagged with ,

Java 7 には、Update 7 で修正された以外にまだ大穴があるらしい

leave a comment »

Java 7 security — New exploit found in Oracle’s emergency patch.

詳しいレポートはまだ作成中らしいが、Java にはまだ JVM sandbox を迂回されてしまうセキュリティホールがあるらしい。

Security Explorations の調査員が、この脆弱性と考え方を Oracle に既に送付していて、Oracle からの回答待ちの状態らしい。

このセキュリティホールの詳細はまだ公開していないが、パッチが用意されたら、その内容を公開するようだ。

Java を使ってアプリケーションを提供している管理者さん、Java 好きな人はしばらく情報をこまめにチェックした方がいいぞ。

Written by arito

2012-09-06 at 00:16

カテゴリー: セキュリティ

Tagged with

Java 7 に “Super Dangerous” なセキュリティホール

leave a comment »

Security Experts: Zero-Day Java 7 Exploit Is “Super Dangerous” To Mountain Lion Macs | Cult of Mac.

影響が Windows や Mac だけでなく、Linux にも及ぶ「Super Dangerous」なセキュリティホールが Java 7 で見つかって、セキュリティサイトでは話題になっている。

まだ修正されていない問題で、悪意のあるサイトに行くと、意図せぬアプレットをダウンロードさせられて、なんでもされてしまう、というもの。

現時点ではブラウザの Java プラグインを動作しないようにしておくしかないようだ。

オリジナルのマルウェアは、Chrome では動作しないようだが、既に亜種があり、Windows XP の Chrome で動作してしまったようなので、Chrome は安全ということでもなさそう。

普段から怪しサイトへ行く人は、しばらく Java のプラグインは無効にした方が安全。そうでない人も、今時どこへ誘導されるかわからないので、無効にしておいたほうが安全。(Yahoo ニュースしか見ない!とかならいいだろうけど)

追記:

「Linux も対象で既に実証されている」ということで記事にしたのだが、帰ってきて本件の記事の検索をしたら、「うわ、確かに Super Dangerous だな…」と改めて思った。Sophos の記事あたりをどうぞ。

猛威を振る Java ゼロデイ攻撃コード

早速自宅の Mac の Safari、Chrome を調べる。Safari は環境設定で Java を無効化、Chrome は Java Plugin 入っていないようだ。

次に Fedora 17。こちら OpenJDK だが、元が Oracle の Java だし、怖いし、ブラウザで Java アプレットの動作を要求するサイトなんてしらないから、念のため IcedTea Plugin を無効化した。

Windows Vista に入っていた Java は、6 だったが、そもそも Java Plugin なんて使わないはずなので、IE で Java Plugin を無効化し、Java 自体を 6u34 にアップデートした。

いや、それにしても Oracle が「次のパッチは 2012/10/16 です」というアナウンスもひどいもんだ。1.5 ヶ月以上、エンドユーザ責任で放置プレーなの?なんで?

2012/08/31 追記:

Oracle が緊急パッチをリリースしたようだ。さすがに「これはやばい、放置できない」という判断になったんだろうか?

Written by arito

2012-08-29 at 20:23

カテゴリー: セキュリティ

Tagged with

%d人のブロガーが「いいね」をつけました。