回答編集履歴
2
typoを修正しました
test
CHANGED
|
@@ -7,6 +7,8 @@
|
|
|
7
7
|
このサンドボックス機能にしばしば脆弱性があり、「アプレットからはできないはずのことができてしまう」というのが、Javaの脆弱性の典型例です。この種の脆弱性は、ウェブサイト上の「ウイルスに感染する仕組み」として悪用されることが多く、「サイトを閲覧しただけでウイルスに感染する」という結果をもたらします。ただし、パソコン側でJREを無効化していたり、JREの脆弱性のないバージョンを使っている場合は問題ありません。
|
|
8
8
|
|
|
9
9
|
ウイルス感染が心配なのでJREを無効化しましょう、という意見がありますが、これは上記のような文脈からです。
|
|
10
|
+
|
|
11
|
+
|
|
10
12
|
|
|
11
13
|
---
|
|
12
14
|
|
1
コメントに対して追加の情報を記載しました
test
CHANGED
|
@@ -7,3 +7,29 @@
|
|
|
7
7
|
このサンドボックス機能にしばしば脆弱性があり、「アプレットからはできないはずのことができてしまう」というのが、Javaの脆弱性の典型例です。この種の脆弱性は、ウェブサイト上の「ウイルスに感染する仕組み」として悪用されることが多く、「サイトを閲覧しただけでウイルスに感染する」という結果をもたらします。ただし、パソコン側でJREを無効化していたり、JREの脆弱性のないバージョンを使っている場合は問題ありません。
|
|
8
8
|
|
|
9
9
|
ウイルス感染が心配なのでJREを無効化しましょう、という意見がありますが、これは上記のような文脈からです。
|
|
10
|
+
|
|
11
|
+
---
|
|
12
|
+
|
|
13
|
+
追記します。
|
|
14
|
+
|
|
15
|
+
サーバー側でのJava本体の脆弱性による侵入というのは、あまりないと思います。
|
|
16
|
+
|
|
17
|
+
NTTデータ先端技術株式会社にて、さまざまな脆弱性の侵入実験を公表していますが、Javaに関するものは、すべて端末側で脆弱性が動いています。
|
|
18
|
+
|
|
19
|
+
|
|
20
|
+
|
|
21
|
+
[site:www.intellilink.co.jp/article/vulner/ java - Google 検索](https://www.google.co.jp/search?hl=ja&q=site%3Awww.intellilink.co.jp%2Farticle%2Fvulner%2F+java&lr=lang_ja&gws_rd=ssl#q=site:www.intellilink.co.jp/article/vulner/+java&lr=lang_ja&hl=ja&tbs=lr:lang_1ja&start=10)
|
|
22
|
+
|
|
23
|
+
|
|
24
|
+
|
|
25
|
+
サーバーに関係するものとしては、古いですが、UTF-8の非最短形式の扱いに関するものがあります。
|
|
26
|
+
|
|
27
|
+
|
|
28
|
+
|
|
29
|
+
参考: [文字コードの脆弱性はこの3年間でどの程度対策されたか?](http://www.slideshare.net/ockeghem/owasp20134021-x/7)
|
|
30
|
+
|
|
31
|
+
|
|
32
|
+
|
|
33
|
+
この問題は、Java SE 5 Update 17 および Java SE 6 Update 11 で修正されています。
|
|
34
|
+
|
|
35
|
+
一応これはJavaの脆弱性として認識されているものですが、アプリケーション側でも対処は可能で、Javaとアプリケーションのどちらに責任があるかというと、グレーゾーンに属すると思います。
|