中学受験専門 理科総合研究所 −理総研−

フロントページへ
Name:
Pass:
RSS
: ユーザー登録はコチラ :
左 理総研ブログ 右
2013
01
14
投稿 Cordu-Roy

:: ウワサのJava7、修正版SE 7u11を公開

[ 投稿 水口佑@管理人 ]
カテゴリー> 我思う故にWareあり

理総研ブログ
統一入試日を目前にして書く記事でもないんですが、この問題を個別に回答していくのが面倒くせーな〜と管理人が思ってるコトがバレないようにするために、聞かれる前にこっちから書いておこうと考えたのです。

1月10日にUS-CERTが発信した「Vulnerability Note VU#625617」、続いて1月11日にJVNが「緊急」付きで発信した「JVNTA13-010A;Oracle Java 7 に脆弱性」。いずれも、米オラクル社が提供する開発言語、というよりも実行環境であるJava(ジャバ)の最新バージョンJava SE 7及びそれを利用する環境に重大な危険性があると指摘しています。

さて、どうして管理人がこの話題を持ち出したかというと、理総研ユーザーそして訪問者の皆さんに次のことを伝えておきたいが為です。それは、

JavaとJavaScriptは別もんです!以上!

名前似てますけどね。理総研WebではJavaScriptを多用しており、そもそもJavaScriptが実行できない環境では閲覧ができない仕様を採っています。Javaプラグインは一切必要としないので無効化するのはイーとして、勘違いしてJavaScriptまでオフにしてしまうとアクセスできなくなってしまいますのでご注意下さい。


ここで記事を終わってしまうと尻切れトンボなので、以下は蛇足とは言え今回のJava 7の問題点について書いてみます。回避策としては挙げられるのは以下の2つです。


「Java 6に戻す」という手もありそうですが、同じ脆弱性が以前のバージョンにあるかも知れないって事で現在調査中のようなので止めておきましょう。

今回の問題点は大まかに言うと「サンドボックスの脆さ」です。サンドボックスとは直訳すれば砂場のことで、プログラミングの世界では安全が約束された閉鎖空間というトコロでしょうか。危険をはらむ処理をサンドボックス内で実行し、安全が確認されてから出力、こういったセキュリティモデルを指します。

砂場の壁が脆くて砂が外にもれちゃうよーっという指摘は以前からあり、四半期毎に修正プログラムを提供する事に使命感を燃やしていたオラクルもそれに対応する形で修正版を出したものの、根本的な解決には至らなかった、が実状で、完全修正版が出るよりも先に悪意あるプログラムが複数出現してくるというゼロデイアタックに晒されていました。

クライアントサイドで実行されるJavaアプリケーションにそのような脆さがあると、場合によってはPC内のデータ(砂)が外にもれます。外から変質者が砂場に入ってくる可能性もあります。さすがにこの問題を放置できなくなったのか、いろんな場所でいろんな警告が発せられています。

US-CERT(母体は米国土安全保障省)
−Javaをパソコン上で使えなくしろ

Internet Storm Centerブログ:ISC Diary
−これで最後とは思えない。ビジネスに不可欠なものとしてJavaアプリケーションを使用しているなら、代替案を模索した方が良い。

修正版Java SE 7u11はあくまで「特定の応答があったらPC上で警告を出す機能を追加」しただけであり、現在でも根本的な解決には至っていません。この問題を早く解決しないとJavaそしてオラクルの信頼性は崩れます。そうなるとJavaアプリケーション開発をする企業(主にWeb関連企業)が大ダメージを食らいます。Javaアプリということは、つまり携帯コンテンツ業界にもこの問題が波及するわけです。オラクルのJavaプラットフォームは世界の10億台のPCに、そして30億台の携帯電話に利用されていると言います。


管理人もかつてはJavaを利用した開発を行っていました。今はまったく触れていない為、バージョンアップによる仕様変更を負っていかないとままならない程Javaとは距離をとっています。OSを選ばない実行環境はJavaの強みでありましたが、クライアントサイドの仮想マシンで実行されるJavaアプレットは当時怖いし重いしであまりそそられなかったのです。jad.exeが横行してアプレットの逆コンパイルが容易だったのも問題でした。

管理人がJavaを使っていた90年代後期頃「Socket渡し」という技術があり、Proxyサーバを介しても本当のIPはコレだろ?なんて表示するアプレットを当時運営していたサイトのトップページに設置したりしてました。若かったな〜。

A'n'KingをAndroidやiPhone用に携帯アプリ化しようかと考えた時期が私にもありましたが....どーせJavaも忘れかけてるし、当面先送りです。
(2013-01-14 22:44:57)
コメント> 1
Cordu-Roy
2013-01-18 21:23:18
>>
comment #1
読み飛ばしてたけど、US-CERTの[Vulnerability Note VU#625617]には

>Java 6 is not affected.

影響を受けない、つまりJava6へのダウングレードは問題ない、って書いてました。なんかこのあたりは、National Vulnerability Database(http://nvd.nist.gov/)と意見が分かれる所なんですね。
© 2011 System-iDO IT Devisers