Java 6の脆弱性が攻撃対象に

Java 6に見つかっている既知の脆弱性が攻撃対象になっているというニュースが出ています。

クラウド Watchに掲載されている三柳 英樹さんによる記事「Java 6の脆弱性を悪用する攻撃が発生、Java 7へのアップデートを呼びかけ」から引用します:

問題の悪用コードは、トレンドマイクロのセキュリティ製品では「JAVA_EXPLOIT.ABC」という名称で検出に対応するもので、Oracleが6月のセキュリティアップデートで修正した脆弱性「CVE-2013-2463」を悪用する。

また、ITmedia ニュースに掲載されている鈴木 聖子さんによる記事「Javaの脆弱性を突く新たな攻撃、Java 6のパッチは存在せず」も参考になります:

セキュリティ企業F-Secureの研究者は8月26日、TwitterでJavaの脆弱性(CVE-2013-2463)を突くコンセプト実証コードが公開され、Neutrinoにこの脆弱性を突くコードが実装されたと報告した。「JRE6のパッチは存在しない。アンインストールするか、JRE7 Update 25に更新を」と呼び掛けた。

要するにJava 7にアップデートするしかない、というわけです。しかし、実際にはなかなか難しいんですよね…。

例えばNTTドコモが公開している「Star-2.0プロファイル向けiアプリ開発ツール」が実行環境としているのは、

Java実行環境 Java2 Platform Standard Edition Development Kit 6.0 Update 22

このように、Java 6なのです。もうまったく関係ないよっていう方はいいかもしれませんが、そうでもないとなかなか完全に移行は難しいものです。個人的にはEclipseの制限が

Eclipse Eclipse 3.0以上(Eclipse 3.6推奨)

なのも結構つらいです。

そこで、私はこの手のバージョンに依存する開発環境は仮想マシンの中に押し込めています。仮想マシンを使わない場合にも、Javaに関してはブラウザーから使えないように設定しています。さすがにセキュリティホールの多さと、その致命度などを考慮に入れたデメリット、それに対してJava Appletを有効にするメリットを比較してこのようにしています。ちなみにActiveXフィルターも有効にしているので、Adobe Flash Playerも明示的に許可をしない限り使用できないようになっています。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です