Javaの脆弱性を突く攻撃が占める割合は、前年同期の3分の1から、今年上半期にはほぼ半分に増えたという。 フィンランドのセキュリティ企業F-Secureは9月24日、2013年上半期のセキュリティ動向報告書を発表した。Javaの脆弱性を突く攻撃が増え続けている実態などについて解説している。 それによると、F-Secureが2013年上半期に検出した主な攻撃のうち、ほぼ60%をソフトウェアの脆弱性を突く攻撃が占めた。筆頭はJavaの脆弱性を突く攻撃で、F-Secureが検出した攻撃のうち、Javaの脆弱性攻撃が占める割合は、前年同期の3分の1から、今年上半期にはほぼ半分に増えたという。 Oracleが3月のJavaセキュリティアップデートで修正した脆弱性「CVE-2013-1493」や、2011年10月に修正された「CVE-2011-3544」は、特に集中的に狙われていることが分かった。 一
米Oracleは、「Java Development Kit 8」の開発者向けプレビュー版を公開した。2014年3月の正式提供を目指す。 米Oracleは2013年9月10日、「Java Development Kit(JDK) 8」の開発者向けプレビュー版を公開した。2014年3月の正式提供を目指し、幅広い開発者にテストしてもらう狙い。 OracleのJavaプラットフォーム部門のマーク・ラインホールド氏はブログで、「同プレビュー版はOracleがサポートする全てのOSでテストを済ませており、目立った問題は見つかっていない。2013年6月に公開したFeature Complete版に見つかったバグは、その多くを修正した」としている。 JDK 8の新機能の中で特筆すべきものは「Project Lambda」で、ラムダ式、インターフェイスにメソッドを実装できるようにする「デフォルトメソッド」
Javaの既知の脆弱性を突く攻撃がまた新たに発生した。Java 7の最新版に更新すれば問題は解決されるが、Java 6の場合、修正パッチは存在しない。 日本を含む世界40カ国あまりで政府機関や民間企業、学術機関などのコンピュータに感染を広げたマルウェア「NetTraveler」に、Javaの既知の脆弱性を突く亜種が出現したという。ロシアのセキュリティ企業Kaspersky Labが9月3日のブログで伝えた。 それによると、最近ウイグル人活動家に届いたスピアフィッシングメールの中に、正規のWebサイトへのリンクに見せかけて、NetTraveler関連サイトに誘導するリンクが記載されているのが見つかった。 誘導先サイトに仕込まれた「new.jar」という名称のJavaアプレットは、Oracleが6月の定例パッチで修正したJavaの脆弱性(CVE-2013-2465)を悪用する仕掛けになっていた
セキュリティ専門家は「JRE6のパッチは存在しない。アンインストールするか、JRE7 Update 25に更新を」と呼び掛けた。 さまざまな脆弱性の悪用を狙った攻撃ツールの「Neutrino」に、Javaの既知の脆弱性を悪用する機能が加わった。Java 6ではこの脆弱性が修正されていないことから、セキュリティ各社は改めて、最新版のJava 7にアップグレードするよう促している。 セキュリティ企業F-Secureの研究者は8月26日、TwitterでJavaの脆弱性(CVE-2013-2463)を突くコンセプト実証コードが公開され、Neutrinoにこの脆弱性を突くコードが実装されたと報告した。「JRE6のパッチは存在しない。アンインストールするか、JRE7 Update 25に更新を」と呼び掛けた。 CVE-2013-2463は、Oracleが6月の定例パッチで修正した脆弱性で、危険度は極
Bit9の調査によると、企業のエンドポイントのうち82%が、既にサポートの打ち切られたJava 6を実行していることが判明した。 多くの企業でエンドポイントに古いバージョンのJavaが残り、深刻な脆弱性が多数放置されたままになっている実態が、セキュリティ企業Bit9が7月18日に発表した調査で判明した。 Bit9の調査では、各国の企業数百社のエンドポイント約100万台についてJavaの導入状況を調べた。その結果、調査対象のエンドポイントの82%がJava 6を実行していることが判明した。Java 6については既にOracleがサポート打ち切りを宣言している。 社内のエンドポイントに存在するJavaのバージョンは、平均して50を超えていることも判明。最新版のJavaを導入している企業は1%にも満たなかった。最も多かったのは「Java SE 6 Update 20」の9%で、このバージョンには
セキュリティ企業によれば、Java SE7で導入されたReflection APIには、10年以上前から知られていた攻撃を防ぐ対策が施されていなかったという。 ポーランドのセキュリティ企業Security Explorationsは7月18日、Java SE7に新たな脆弱性が見つかったとして、セキュリティメーリングリストのFull Disclosureに概略を掲載した。Oracleにも同日、コンセプト実証(PoC)コードを添えて報告したという。 Security Explorationsによると、脆弱性はJava SE7で導入された「Reflection API」に存在し、Java仮想マシン(VM)に対する攻撃に利用される恐れがある。 この攻撃手法そのものは10年以上前から知られていたにもかかわらず、Java SE7で導入されたReflection APIには、この攻撃を防ぐための適切な対
Apache Struts 2に深刻な脆弱性、国内でも攻撃を観測:場合によってはリクエストの制限などの回避策を推奨 Apache Software Foundationは米国時間の2013年7月16日、深刻な脆弱性を修正するアップデート「Struts 2.3.15.1」を公開した。 Apache Software Foundationは米国時間の2013年7月16日、Webアプリケーションフレームワーク「Struts 2」の新バージョン「Struts 2.3.15.1」を公開した。深刻な脆弱性を修正するもので、同Foundationは早急なアップデートを推奨している。 Struts 2は、JavaによるWebアプリケーション開発に広く使われているフレームワークで、国内でも多くのサービスが採用している。 今回修正された脆弱性(S2-016)は、Struts 2.0.0から2.3.15までに存
Keplerで提供されるパッケージ Eclipse.orgでは、用途にあわせてプラグインを組み合わせたパッケージが提供されている。Keplerで提供されているパッケージと、各パッケージに含まれているプラグインは以下の通りだ。 Junoと比べるとDSL開発向けのパッケージが追加された。また、JavaEE開発向けのパッケージにもGitやMavenサポートが標準で含まれるようになり、GitやMavenといった標準的な開発インフラを利用しやすくなったといえるだろう。 なお、昨年のJunoのリリース時はEclipse 3.x系のアップデートとして3.7が同時にリリースされたが、Keplerは4.x系のリリース(4.3)のみとなる。Junoでは4.x系での大幅な外観の変化やパフォーマンス上の問題などで、3.x系に留まったユーザも多いと思うが、Keplerで4.x系への移行が進むのではないだろうか。 ま
修正された40件の脆弱性のうち37件は、リモートから認証を経ずに悪用される恐れがある。脆弱性を修正した最新版は「Java SE 7 Update 25」となる。 米Oracleは6月18日、予告通りにJava SEの定例セキュリティアップデートとなる「Critical Patch Update」(CPU)を公開した。脆弱性を修正したJavaの最新版は「Java SE 7 Update 25」(1.7.0_25)となる。 同社のセキュリティ情報によると、今回のCPUでは計40件の脆弱性に対処した。このうち37件について、リモートから認証を経ずに悪用される可能性が指摘されている。 40件のうち34件はクライアント版のみに影響する脆弱性で、危険度を示す共通指標CVSSのベーススコアが最も高い「10.0」の極めて深刻な脆弱性が11件に上る。 残る6件の内訳は、クライアント版とサーバ版に影響する脆弱
Javaの新しいアップデートスケジュールに従ったアップデートが6月18日(米国時間)に実施されるはずであり、このアップデートは40ものセキュリティ修正を含む重要なものになる可能性が高いことから、迅速にアップデートを適用すべきだという指摘がNaked Securityの記事「Get ready! Oracle to fix 40 holes in Java on Tuesday, 18 June 2013」に掲載された。 実際にどういった修正が実施されるかの具体的な説明は実際にアップデートが実施されてから紹介するとしているが、正規表現に関するバグやコードの遠隔実行のセキュリティ脆弱性などの修正が取り込まれているだろうと説明している。アップデートが公開されるまでの間は、ブラウザにおけるJava Appletの実行を無効化しておくなどの対策で、これらのリスクを低減できるという説明もある。 Ora
Oracleは6月11日(米国時間)、GlassFishの最新版となる「GlassFish Server 4 Open Source Edition」を公開した。GlassFishはJavaで実装されたオープンソースのアプリケーションサーバ。Java EE 7の参照実装と位置づけられている。 Java EE 7にはエンタープライズシステム開発においてこれまで要求されてきた機能が取り込まれており、企業システムの開発において採用が進むとみられている。ひとつ前のバージョンとなるJava EE 6に対応したバージョンはSun Microsystemsのサポート下で開発されてきたが、Java EE 7に対応したGlassFish 4はOracleサポート下での提供となる。商用サポートのついたOracle GlassFish ServerはまだJava EE 7に対応したバージョンは提供されていないが
Javaベースで開発されたオフィススィート「Joeffice」が登場した。NetBeans IDE上のアプリケーションとして開発されており、オフラインでもオンラインでも実行可能。開発者はJoefficeを30日間ほどで開発したとしており、GUIアプリケーションプラットフォームとしてのNetBeans IDEのポテンシャルの高さや、関連するライブラリの充実などが注目される。ドキュメントのインポートにはApache POIが、SVGのレンダリングにはApache Batikが、データベースにはH2が採用されている。 100% Javaで開発されているため、ブラウザ経由でオンラインでも実行できるという特徴がある。Java SE 7が動作するOSであればどのOSでも動作する。
日本オラクルは5月14日、Java Platform Standard Edition 7の最新の日本語文書を公開したと発表した。文書は「Java SE ドキュメント 概要」から閲覧できる。2012年7月に提供が開始されたJava SE 7の「機能紹介」および「コンポーネント一覧」の最新版が公開されている。なお、「Java SE ドキュメント 概要」から提供される文書のいくつかは依然として英語のみで提供。 技術流動の速いITの分野では、最新技術の開発現場での意思疎通には英語が使われることが多く、リリース時に提供される文書も英語のみで提供されていることが多い。IT業界においては避けることが難しいことだが、日本語を母国語とする開発者による国内の開発においては、資料が英語のみの場合、現場の開発者が情報を得る情報源としては機能しにくいところがある。 Javaは特にエンタープライズシステムの開発に実
当初のリリーススケジュールと比較して開発の遅れが指摘されてきたJava 8だが、リリース予定を半年遅らせて来年の3月18日とする旨が公式に発表された。当初の予定では今年の9月にリリースされる予定だったが、ブラウザに関わるJavaのセキュリティ問題への取り組みに開発リソースを集中させた結果、当初のリリーススケジュールの実現は困難になったと説明されている。発表された新しいリリーススケジュールは次のとおり。 2013年05月23日 M7 Feature Complete 2013年09月05日 M8 Developer Preview 2014年01月23日 M9 Final Release Candidate 2014年03月18日 GA General Availability Lambdaの機能を搭載せずに従来のスケジュール通り9月にリリースする案も示されていたが、Lambdaの機能を含ん
この問題は、4月16日に公開されたJava最新版の「Java 7 Update 21」(1.7.0_21)も影響を受けるという。 ポーランドのセキュリティ企業Security Explorationsは4月22日、米OracleのJava SEにまた新たなセキュリティ問題が見つかったとして、セキュリティメーリングリストの「Full Disclosure」で概略を公表した。 Security Explorationsによれば、新たに見つかった脆弱性はJavaのリフレクションAPIに関連するもので、4月16日に公開されたJava最新版の「Java 7 Update 21」(1.7.0_21)も影響を受けるという。この問題を悪用すれば、Javaのセキュリティ対策であるサンドボックスを完全に迂回することが可能だとしている。 この問題はJREプラグインやJDKソフトウェアだけでなく、最近発表されたサ
過去に何度もJavaの脆弱性を発見してきたセキュリティ企業が、新たに2件の脆弱性に関する情報をOracleに提供したことを明らかにした。 ポーランドのセキュリティ企業Security Explorationsは2月25日、2件の脆弱性に関する情報とコンセプト実証コードをOracleに提供したことを明らかにした。Oracleは提供された情報について調査した上で返答すると伝えてきたという。 Security Explorationsは、過去に何度もJavaの脆弱性を発見してきたセキュリティ企業。メディア各社はこの脆弱性について、Oracleが2月19日に公開したばかりのJava最新版「Java 7 Update 15」が影響を受けると伝えている。 JavaはOSを問わないマルチプラットフォーム対応の特性を利用して、WindowsとMacの両方を狙った攻撃に利用されるケースが急増している。最近で
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
