10/04/13 20:43:35 RXVQsYQt0
Full Disclosure: Java Deployment Toolkit Performs Insufficient Validation of Parameters
URLリンク(seclists.org)
operaが扱うのはbin\new_plugin\npdeploytk.dllだから、それへのアクセスをできないようにすれば
…のか?
578:名無しさん@お腹いっぱい。
10/04/13 20:50:47 6q7RaMdR0
URLリンク(my.opera.com)
おっと、Operaヲタには脆弱性の3文字はタブー、だったかな。。悪かった
579:名無しさん@お腹いっぱい。
10/04/13 20:57:15 6q7RaMdR0
>>577
真面目な奴がいて嬉しいな。
Operaのプログラムフォルダの中、defaultsフォルダにplugin-ignore.iniてのがあるから、
そこに次の1行を追加する。これでいい筈。
npdeploytk.dll=Java Deployment Toolkit
(=の後ろは適当でいいと思うが)
あと、Spyboy S&Dの免疫が効いてると[SpybotSD Backup]というセクションが出来るみたいだが、
自分で追記する場合は、その下を避けたほうがいいと思うぜ
580:名無しさん@お腹いっぱい。
10/04/13 21:01:01 +NE3rSR/0
>>540
思わずフォローしてしまった
581:名無しさん@お腹いっぱい。
10/04/13 21:01:18 sLBjbcn60
>>577-578
基本的にはJavaのプログラムフォルダにあるjavaws.exeのアクセス権を読み取り実行拒否に
してやればこの脆弱性の影響は受けなくなるはず。
(javaws.exeはWindowsのシステムフォルダにもコピーがあるが、こちらはたぶん関係ない)
javaws.exeをブロックしてもローカルのJavaアプリやWebコンテンツとしてのJavaアプレットは
問題なく動くから、一般的な用途で不便を感じることはまずないと思う。
582:579
10/04/13 21:03:30 6q7RaMdR0
スマソ。ちょっと間違った。
[SpybotSD Backup]の上か下か、じゃなく、[Plugins to Ignore]セクションに追記、だ。
大ボケかまして悪かったの、皆さん
583:名無しさん@お腹いっぱい。
10/04/13 21:09:01 6q7RaMdR0
>>581
正解だと思うけど、パッチがリリースされて新しいJREを入れるときは
その設定を元に戻すのを忘れないことが大事だな。
うっかりさんが半べそかく姿が目に浮かんで来た。杞憂に終わらないことを祈ってる。
まぁ、各ブラウザ個別に処置するにしても、IE向けにKillBit立てたらやっぱり更新時にトラブルしなぁ。
どっちがいいかは分からんよなぁ。
俺はブラウザ上でしかJava使う機会なさそうだから、さっさと本体アンインストールしちまったw
584:名無しさん@お腹いっぱい。
10/04/13 21:20:17 sLBjbcn60
>>583
俺はあなたの言うところの「うっかりさん」だからこそ、こちらの方法をとったんだ。
主要ブラウザは一通り入れてあるし、個別に設定なんてしたら元に戻すときが面倒くさいw
585:名無しさん@お腹いっぱい。
10/04/14 00:11:23 iEXugtHJ0
つづきはJavaスレで