Javaにまた未解決の脆弱性が発見される 66
ストーリー by hylom
OSSキラーの異名を持つOracle 部門より
OSSキラーの異名を持つOracle 部門より
あるAnonymous Coward 曰く、
2月19日に「Java 7 Update 15」がリリースされたばかりだが、ポーランドのセキュリティ企業がJavaにおける未解決の脆弱性2件を発見したという(ITmedia)。
相次ぐ脆弱性の発見を受け、「Javaはどうしても実行する必要がない限りは無効にした方がよい」という声も挙がっている。
そんな中、米調査会社Enderle Group主席アナリストのロブ・エンダール氏は「OracleはJavaをGoogleに売るべきだ」と発言している(TechTargetの記事)。
Oracleとしては (スコア:2)
こうして発見してもらえることで
よく発見してくれた!!早急に対応してより良い製品にしていく
なのか
またかよ。めんどくせ~な。クリティカルじゃなければぼちぼち対応すっか
どうなんだろうか。
Re:Oracleとしては (スコア:1)
すでにゼロデイが出てるからクリティカルもクリティカルでしょう。
FirefoxはどうやらJavaの全バージョンブロック実施の予定を繰り上げるらしい。
https://bugzilla.mozilla.org/show_bug.cgi?id=843373 [mozilla.org]
Re: (スコア:0)
Re: (スコア:0)
「最新バージョンにも脆弱性が発見されたのでブロックした」と「脆弱性の有無にかかわらずJavaは全バージョンブロックすることにした」は分けて考えれ。
後者を繰り上げ実施することにした(つまりたとえOracleがパッチを出してももうJavaのブロックは解除しない)ってこと。
Re:Oracleとしては (スコア:1)
Oracleなりの殺し方のように見えちゃうな
# 消したいものは飼い殺し
Re: (スコア:0)
ソースは失念したけど、Oracle自体かなり多数のJavaエンジニアを抱えているので、それはないと思いますよ。
Re: (スコア:0)
Javaエンジニア丸ごと切れるじゃん
見出し (スコア:2)
解決済の脆弱性を発見!
っていうのはアレだし、『未解決』っていうのは不要だね。
Re:見出し (スコア:2)
今の場合、「未解決の脆弱性が発見される」という見出しで意図している意味は「脆弱性が発見されて、しかもまだ解決していない (修正されていない)」ということだから、「未解決」が不要というのは違うんじゃないかな。
Re: (スコア:0)
脆弱性の多くは,開発元に連絡して修正されてから公開される事がおおいんでは
カテゴリー (スコア:1)
Re: (スコア:0)
本家で昨日任天堂の記事にマイクロソフトカテゴリーがついてたから何かそういうのが流行っているのかも。
Re: (スコア:0)
Googleの人のコメントが出てるから。
JavaといいWindowsといいGoogleはすごい勢いでバグを見つけているわけですが… (スコア:1)
もうこうなってくると、Googleお得意の力技探索を使って「バグの有りかを片っ端から調べてる」んじゃないだろうかと wktk してしまう。
debugger をスクリプト言語で管理、操作する実装はすでに何種類もあるわけだし。
fjの教祖様
もう愛想が尽きた (スコア:0)
閲覧者にJavaを有効にするモチベーションを与えるのはもはや社会正義に反するから、うちのサイトでアプレットを使っているところは全部差し替えるか。
Re: (スコア:0)
Oracle がデフォルトで JRE の Java Applet を無効にしてくれれば
JVM の脆弱性による被害者は一気に減りそうなのにねぇ
さすがいいまどき Java Applet とかいらんだろう…
そうか、Googleさんのおかげなんだな (スコア:0)
>そんな中、米調査会社Enderle Group主席アナリストのロブ・エンダール氏は「OracleはJavaをGoogleに売るべきだ」と発言している(TechTargetの記事)。
俺の脳内陰謀調査委員会の報告によれば、
GoogleがJavaを手に入れたくて世界中のセキュリティスペシャリストに資金を流し
Javaの脆弱性を発見させてる or 脆弱性を買い取ってる
ということが判明した。
JavaがよりセキュアになっていっているのはGoogle先生のおかげということだな!!
# Googleに渡ればJavaはセキュアになるんだろうか……
# AndroidのためにJVM実装を流用するつもりなら頑張るだろうけど、どうなんだろ?
Re:そうか、Googleさんのおかげなんだな (スコア:2, すばらしい洞察)
> # Googleに渡ればJavaはセキュアになるんだろうか……
飼い殺しのOracleと違って運用が面倒だと分かればバッサリ放棄するから、
皆がJavaを捨て去る契機になる、という理由だったりして。
Re:そうか、Googleさんのおかげなんだな (スコア:1)
それは言える。
確かにOracleよりはGoogleが持ってくれるほうがいい。
そういやIBMの実装ってあったよね?AIXとか触らないので詳しくは知らんのだが。
hpもあったっけ。
あれはこの手の不具合はどうなってるんだろう。
アプレット絡みだから無関係かな?
Re: (スコア:0)
J9ベースかは知らないけどIBM [ibm.com]
HPのってChaiVMだっけ?
Re: (スコア:0)
Re: (スコア:0)
Javaはいらないかも知らんけど .netさんが居るから
まだバイトコードの可搬性を誰も求めてないとは言い
切れないんじゃないかな。
AndroidだってNDKだと機種依存発生しちゃうし。
もちろんバイトコードで機種依存が完全になくなる
わけではないけど。
OSSな世界ならソースの可搬性が担保されてればいい
だろうけどね。
Re: (スコア:0)
忘れ去られる以前に話題にもならなかったInfernoさんェ・・・
Re:そうか、Googleさんのおかげなんだな (スコア:1)
# Googleに渡ればJavaはセキュアになるんだろうか……
Googleのいうセキュアとは、"情報が全部Googleに筒抜けになる"、でしかないですよ。
Googleなら、Googleなら、やってくれるさ! (スコア:0)
突然JavaScriptによるJVM実装が…
あぇ、なんかもうあるような
Re: (スコア:0)
ない。JVM上でJavaScriptを実行するエンジンならある。
JVM in JavaScript (スコア:2)
ないこともないみたい
http://developers.slashdot.org/story/11/11/21/0454254/javascript-jvm-r... [slashdot.org]
Re:Googleなら、Googleなら、やってくれるさ! (スコア:1)
JVM じゃないけれど GWT のことも思い出してあげてください。
Re: (スコア:0)
BicaVM [github.com]
Doppio [github.com]
なんで (スコア:0)
前のバージョンがリリースされた一週間後というタイミングで発表するかな…
Re: (スコア:0)
1 oacleの都合よりユーザへの周知の方が重要だから
2 たまたま検証されたタイミングがそうだっただけ
3 むしろ1週間も待ったのは配慮したから
そんな感じ
Re:なんで (スコア:3, すばらしい洞察)
4 Oracleが嫌いなので、リリースされるたびに隠し持っておいた新しいセキュリティホールをチマチマ公開してる
Re: (スコア:0)
5 いっぺんに伝えてもどうせ直せないだろOracleだし
Re:なんで (スコア:1)
6 直した箇所から見つかった
Re:なんで (スコア:3, おもしろおかしい)
報告済みかどうかサポート情報を確認しようとしたら、
「サポート情報を参照するためには使用開始日に遡ってサポート契約を結んでいただく必要があります」
って言われたから
Re: (スコア:0)
サポート契約すると、サポートにより得られた情報になってしまい
契約によりセキュリティ情報が公開できなくなるので
サポート契約できないジレンマ。
Re: (スコア:0)
無署名のアプレットを実行する前にダイアログを表示するようにしたけどそれが無意味だったとか実際にやらかしてくれてるからなあ。
やった! (スコア:0)
遂に最後のバグを見つけたぞ!!
という夢をみた。
Re:やった! (スコア:1)
明日の晩の夢は次の一個を見つけるところですな。
# 常にもう一つある
30億のデバイスで走る (スコア:0)
悪寒
Re:30億のデバイスで走る (スコア:2)
30億のデバイスをexecuteするJava。
Re:30億のデバイスで走る (スコア:2)
またOracle様から無料のサポートが受けられるではないか (スコア:0)
逆に考えるんだ。
あのオラクル様から無償サポートの提供が受けられるチャンスではないか。
Re: (スコア:0)
つまり、また年貢が上がるフラグですね。
ええい面倒だ (スコア:0)
どうせ使わないならJavaをウイルスに認定すればいい
Re:ええい面倒だ (スコア:1)
トレンドマイクロなら…トレンドマイクロならきっと(ry
もうJavaはアンインストールすべき (スコア:0)
ウイルス対策ソフトもJavaが入ってたらアンインストールを促す警告を毎日表示した方がいい
Re:もうJavaはアンインストールすべき (スコア:1)
Mac版Symantec Endpoint protectionはアップデートにJavaを要求するのでアンインストールできないジレンマ。
Re: (スコア:0)
技術力の有り無しと誠実かどうか、また働き者かどうかは違うんです
Re: (スコア:0)
バグではなく、脆弱性
ここまで多いと元々の設計に無理があったのかも?
セキュリティ的に強いはずだったJavaなんだけど・・・いつのまにか複雑になりすぎて穴が増えたってことなのかな?
OracleよりもSUN時代から問題が含まれていたという可能性もあるしね。