Windows用Microsoft Java VMの新たなセキュリティホール | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.12.13(木)
コンテンツ
注目検索ワード
ホーム 製品・サービス・業界動向 業界動向 記事

Windows用Microsoft Java VMの新たなセキュリティホール

「Java Security Report Second Edition」発売中 http://vagabond.co.jp/vv/p-jsr01.htm  JavaHouse Brewers MLの高木氏によって、10月18日に発覚したMicrosoft Java VMの新しいセキュリティホールについての詳細がまとめられた。  このセキュリティホールはInterne

製品・サービス・業界動向 業界動向
「Java Security Report Second Edition」発売中
http://vagabond.co.jp/vv/p-jsr01.htm
 JavaHouse Brewers MLの高木氏によって、10月18日に発覚したMicrosoft Java VMの新しいセキュリティホールについての詳細がまとめられた。
 このセキュリティホールはInternet Exploler4,5.0,5.01,5.5に搭載されている、ビルド3318以前のMicrosoft VM for Javaに存在する。このセキュリティホールによって、Javaアプレットは動作しているPCの中のファイルを読み出しされ、またアプレットの読み込み元以外のコンピュータとの通信が可能になる。また、ブラウザの乗っ取りも発生し、任意のWebサイトへのアクセスが自動的に行われてしまう。この結果、仮にPCがファイアウォールの中にあったとしても、ファイアウォールの中の情報をファイアウォール外で閲覧することが可能になったり、Cookieを用いて認証を行う決済システムでは利用者の知らない内に決済が行われてしまうなどの不正が簡単にできてしまう。
 このセキュリティホールを利用するアプレットは、Javaプログラマであれば非常に簡単に作ることができ、IEコンポーネントを利用したHTML対応メーラであれば、メールを開いただけで簡単に攻撃されてしまうという意味で、非常に大きなセキュリティホールである。

 このセキュリティホールへの対応方法は3つある。

(1)Java VMを最新のビルドにする
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-081の文書に従い、セキュリティホールのないVMにアップデートする方法。このアップデートはWindows Updateでは実施されないので、手動で行う必要がある。

(2)Java VMを使わない設定にする
もしあなたがJavaを全く使わないのであれば、必ずJava VMを使わないようにブラウザを設定する。

(3)Java VM Selector for IEとJava Plug-inを使い、使用するVMを強制的にJava Plug-inにするSunが配付しているJava Plug-inは、現在のところセキュリティホールが発見されておらず、Javaの仕様がきちんと実装されているが、WebページのHTMLをJava Plug-in専用のものにしなければいけない。そこで木村氏が作成したJava VM Selector for IEを使うことで、一般のHTMLでもJava Plug-inを使うことができる。ただし、Microsoft VM for Javaをアンインストールする必要がある。

 高木氏は、これまでJavaVMベンダがセキュリティホールの存在、その重大性、回避策に関する告知を十分に行っていないことを再三問題提起している。
このため、今回のセキュリティホールがどの程度認知されているかのアンケートを実施している。

◇セキュリティホールについての高木氏の記事:
http://java-house.etl.go.jp/ml/archive/j-h-b/038905.html

◇セキュリティホールの認知度の調査を行うオンラインアンケート:
http://java-house.etl.go.jp/~takagi/java/security/ie-guninski-codebase1/questionnaire.html
◇Java VM Selector for Java:
http://homepage1.nifty.com/emk/vmselect.html

[阪倉 一/Java Security Report]

 <ローカスレポート Java Security Report 2000年11月30日より転載>

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

月例セキュリティ情報を公開、悪用の事実も確認(IPA、JPCERT/CC) 画像

月例セキュリティ情報を公開、悪用の事実も確認(IPA、JPCERT/CC)
「Adobe Reader」「Acrobat」アップデート、複数の脆弱性に対応(JPCERT/CC、IPA) 画像

「Adobe Reader」「Acrobat」アップデート、複数の脆弱性に対応(JPCERT/CC、IPA)
企業のアタックサーフェス別クリプトジャッキング感染状況 画像

企業のアタックサーフェス別クリプトジャッキング感染状況
仮想通貨とフィッシングが目立った2018年、2019年は攻撃がさらに洗練(マカフィー) 画像

仮想通貨とフィッシングが目立った2018年、2019年は攻撃がさらに洗練(マカフィー)
OMC Plusを騙るフィッシングメールを確認、注意を呼びかけ(フィッシング対策協議会) 画像

OMC Plusを騙るフィッシングメールを確認、注意を呼びかけ(フィッシング対策協議会)
サイボウズ「Garoon」および「リモートサービス」に脆弱性(JVN) 画像

サイボウズ「Garoon」および「リモートサービス」に脆弱性(JVN)

インシデント・事故 記事一覧へ

学生へのフィッシングメールで攻撃者から個人情報が閲覧可能な状態に(新潟大学) 画像

学生へのフィッシングメールで攻撃者から個人情報が閲覧可能な状態に(新潟大学)
車の屋根の上に個人情報記載名簿を載せ発進・紛失(高岡市) 画像

車の屋根の上に個人情報記載名簿を載せ発進・紛失(高岡市)
BCCのつもりでTOに、誤送信でエキストラ登録者385名のメールアドレス流出(牛久市観光協会) 画像

BCCのつもりでTOに、誤送信でエキストラ登録者385名のメールアドレス流出(牛久市観光協会)
業務委託先がクレジットカード情報を含む利用料金支払用紙を紛失(スターキャット・ケーブルネットワーク) 画像

業務委託先がクレジットカード情報を含む利用料金支払用紙を紛失(スターキャット・ケーブルネットワーク)
事務処理の誤りでふるさと納税寄付者の全データを掲載(山形市) 画像

事務処理の誤りでふるさと納税寄付者の全データを掲載(山形市)
市立中学校の教員が技術科2学期末テストの解答用紙を紛失(大阪市) 画像

市立中学校の教員が技術科2学期末テストの解答用紙を紛失(大阪市)

調査・レポート・白書 記事一覧へ

2018年はソーシャルエンジニアリングやフィッシングが前年比2倍に、Webサーバへの攻撃は減少(CrowdStrike) 画像

2018年はソーシャルエンジニアリングやフィッシングが前年比2倍に、Webサーバへの攻撃は減少(CrowdStrike)
企業のIaaS、PaaSの設定ミスの件数は月2,200件超(マカフィー) 画像

企業のIaaS、PaaSの設定ミスの件数は月2,200件超(マカフィー)
「超限戦」時代、軍事大国アメリカの迷走 - 書評「大統領失踪」 画像

「超限戦」時代、軍事大国アメリカの迷走 - 書評「大統領失踪」
「3ウェイ・ハンドシェイク」を悪用したSYN/ACKリフレクター攻撃を確認(警察庁) 画像

「3ウェイ・ハンドシェイク」を悪用したSYN/ACKリフレクター攻撃を確認(警察庁)
日本語のBECやセクストーション初確認、日本への攻撃が本格化か(トレンドマイクロ) 画像

日本語のBECやセクストーション初確認、日本への攻撃が本格化か(トレンドマイクロ)
2018年前期に報道された情報システム障害は35件、高水準で推移(IPA) 画像

2018年前期に報道された情報システム障害は35件、高水準で推移(IPA)

研修・セミナー・カンファレンス 記事一覧へ

セキュリティカンファレンス論文公募の受かり方 画像

セキュリティカンファレンス論文公募の受かり方
CSIRT 担当者は J. D. サリンジャーを読むべきか ~ やらかし事例から学ぶセキュリティ 画像

CSIRT 担当者は J. D. サリンジャーを読むべきか ~ やらかし事例から学ぶセキュリティ
誰もが安全で快適に感じるアプリ環境に近づく「TikTok」(Bytedance) 画像

誰もが安全で快適に感じるアプリ環境に近づく「TikTok」(Bytedance)
小池都知事他講演「Cybertech Tokyo 2018」11月29日から開催(ナノオプト・メディア) 画像

小池都知事他講演「Cybertech Tokyo 2018」11月29日から開催(ナノオプト・メディア)
サイバー犯罪におけるマフィアの機能とロシアンマフィア新潮流:オックスフォード大学研究 画像

サイバー犯罪におけるマフィアの機能とロシアンマフィア新潮流:オックスフォード大学研究
2018年のサイバー攻撃といえば? 選ばれた4つのテーマ [Internet Week 2018] 画像

2018年のサイバー攻撃といえば? 選ばれた4つのテーマ [Internet Week 2018]

製品・サービス・業界動向 記事一覧へ

HTTPS通信の脅威も検出、統合型ゲートウェイソリューション新製品(エフセキュア) 画像

HTTPS通信の脅威も検出、統合型ゲートウェイソリューション新製品(エフセキュア)
中堅管理者向け認定資格「CASP」日本語版試験12月より開始(CompTIA日本支局) 画像

中堅管理者向け認定資格「CASP」日本語版試験12月より開始(CompTIA日本支局)
広告代理店に向けブラックリスト提供、不正サイトへの広告配信排除(モメンタム) 画像

広告代理店に向けブラックリスト提供、不正サイトへの広告配信排除(モメンタム)
検疫アプライアンスの最新版、クライアント常駐プログラムを採用(エイチ・シー・ネットワークス) 画像

検疫アプライアンスの最新版、クライアント常駐プログラムを採用(エイチ・シー・ネットワークス)
SOCサービスにインシデント対応オプションを提供開始(IIJ) 画像

SOCサービスにインシデント対応オプションを提供開始(IIJ)
セキュリティ診断の内製化支援サービス開始(ラック) 画像

セキュリティ診断の内製化支援サービス開始(ラック)

おしらせ 記事一覧へ

【Scan PREMIUM 記事配信予告】あの男が帰ってくる! ~ 翼の折れたペネトレーションテスター 画像

【Scan PREMIUM 記事配信予告】あの男が帰ってくる! ~ 翼の折れたペネトレーションテスター
プレゼントのおしらせ( 一田 和樹 著「原発サイバートラップ」著者 及 辻伸弘氏サイン入り) 画像

プレゼントのおしらせ( 一田 和樹 著「原発サイバートラップ」著者 及 辻伸弘氏サイン入り)
ScanNetSecurity 創刊 20 周年の御礼 画像

ScanNetSecurity 創刊 20 周年の御礼
編集部海外取材お土産 < 応募締切 9/30 > 画像

編集部海外取材お土産 < 応募締切 9/30 >
[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました 画像

[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました
[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊 画像

[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊
Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×