Sun Java Plugin arbitrary package access vulnerability
今更ながらこの話題。以下、関連記事。
- #57591: Security Vulnerability With Java Plug-in in JRE/SDK
- iDEFENSE : Power Of Intelligence : Current Intelligence : Vulnerabilities
- Secunia - Advisories - Sun Java Plug-in Sandbox Security Bypass Vulnerability
- US-CERT Vulnerability Note VU#760344
- Java flaw could lead to Windows, Linux attacks | CNET News.com
- ITmedia エンタープライズ:Javaプラグインに「極めて深刻」な脆弱性??WindowsやLinuxに影響
- CTC [Security] 0082-01 Java プラグインの脆弱性について
「Safariでインストール済みプラグイン一覧をどう見るんだっけ」とか小一時間探しちまったよ...。そう言えばHelpメニューにあったのね...orz
(参考:アップル - サポート - TIL:Safari: プラグインが Safari で使用できるか調べる方法)
Mac OS X的には Java Update 1.4.2 Update 2 でプラグインが
$ lsbom -p sf /Library/Receipts/Java142Update2.pkg/Contents/Archive.bom | egrep "^[0-9]" | grep bundle 1534 ./Library/Internet Plug-Ins/JavaPluginCocoa.bundle/Contents/Info.plist 70288 ./Library/Internet Plug-Ins/JavaPluginCocoa.bundle/Contents/MacOS/JavaPluginCocoa 8 ./Library/Internet Plug-Ins/JavaPluginCocoa.bundle/Contents/PkgInfo 22182 ./Library/Internet Plug-Ins/JavaPluginCocoa.bundle/Contents/Resources/CoffeeCup.tiff 8770 ./Library/Internet Plug-Ins/JavaPluginCocoa.bundle/Contents/Resources/English.lproj/CoffeeCupError.tiff 360 ./Library/Internet Plug-Ins/JavaPluginCocoa.bundle/Contents/Resources/English.lproj/InfoPlist.strings 8770 ./Library/Internet Plug-Ins/JavaPluginCocoa.bundle/Contents/Resources/French.lproj/CoffeeCupError.tiff 292 ./Library/Internet Plug-Ins/JavaPluginCocoa.bundle/Contents/Resources/French.lproj/InfoPlist.strings 8770 ./Library/Internet Plug-Ins/JavaPluginCocoa.bundle/Contents/Resources/German.lproj/CoffeeCupError.tiff 292 ./Library/Internet Plug-Ins/JavaPluginCocoa.bundle/Contents/Resources/German.lproj/InfoPlist.strings 8770 ./Library/Internet Plug-Ins/JavaPluginCocoa.bundle/Contents/Resources/Japanese.lproj/CoffeeCupError.tiff 290 ./Library/Internet Plug-Ins/JavaPluginCocoa.bundle/Contents/Resources/Japanese.lproj/InfoPlist.strings 461 ./Library/Internet Plug-Ins/JavaPluginCocoa.bundle/Contents/version.plist
の様に置き換わってて。んでもって
$ type java java is /usr/bin/java $ java -version java version "1.4.2_05" Java(TM) 2 Runtime Environment, Standard Edition (build 1.4.2_05-141.3) Java HotSpot(TM) Client VM (build 1.4.2-38, mixed mode)
だから「影響あり」と思った方が良いのかしらん。どこのアドバイザリにも“Mac”とか“Apple”とか“Safari”とかは無いけれど。
「Java ScriptでJava Appletをうんぬん」な訳で、OSやらブラウザやら問わないって言われてるしねぇ。「Write Once, Exploit Anywhere」って感じだわねぇ。
まぁ個人的には“Enable plug-ins”も“Enable Java”も常にoffだから関係無いっちゃ無いんだけど。
パラノイア的対処としたら /Library/Internet Plug-Ins/ 以下からJava関係を外しとくってことなのかしら。
しかしまぁ、クライアントなMac OS Xならいーんだけどねぇ、Javaのセキュリティアップデートが出ても。
んでもMac OS X Serverで且つWebObjects使ってると検証しなくちゃいけなくて面倒なんだよなぁ。んー。んー。