JAVA Update (更新) ビルド 1.8.0_73-b02 on 06 Feb. 2016
- Old : ビルド 1.8.0_71-b15 : 28 Jan. 2016
- New : ビルド 1.8.0_73-b02 : 05 Feb. 2016
セキュリティ更新プログラムです。CVE(Common Vulnerabilities and Exposures)-2016-0603 : Windows OS上の Java 6, 7 or 8 において、JAVA のインストールの際に悪用される脆弱性が見つかった事について注意を促しています。
悪用された場合、JAVA をインストールする前に悪意のあるウェブサイトにユーザーを誘導し、ファイルをダウンロードさせます。
複雑な悪用の手段にもかかわらず、進入された場合には、気付かないうちに完全にシステムから情報漏洩を起こさせます。
インストールする間だけの短い時間であっても、6u113, 7u97 or 8u73 より 旧いバージョンの JAVA をダウンロードし、インストールした後で 6u113, 7u97 or 8u73 以降のバージョンにアップグレードする場合でも、旧バージョンは破棄して 最新の 6u113, 7u97 or 8u73 でインストールする必要があります。
インストールの際に無防備になるために、脆弱性の対策として現状インストールされている JAVA を アップグレードする必要はありません。しかしながら、JAVA を新しくインストールする場合には、必ず最新のバージョンでインストールする必要があります。
Security Alert CVE-2016-0603 Released
Oracle just released Security Alert CVE-2016-0603 to address a vulnerability that can be exploited when installing Java 6, 7 or 8 on the Windows platform. This vulnerability has received a CVSS Base Score of 7.6.
To be successfully exploited, this vulnerability requires that an unsuspecting user be tricked into visiting a malicious web site and download files to the user’s system before installing Java 6, 7 or 8. Though considered relatively complex to exploit, this vulnerability may result, if successfully exploited, in a complete compromise of the unsuspecting user’s system.
Because the exposure exists only during the installation process, users need not upgrade existing Java installations to address the vulnerability. However, Java users who have downloaded any old version of Java prior to 6u113, 7u97 or 8u73, should discard these old downloads and replace them with 6u113, 7u97 or 8u73 or later.
As a reminder, Oracle recommends that Java home users visit Java.com to ensure that they are running the most recent version of Java SE and that all older versions of Java SE have been completely removed. Oracle further advises against downloading Java from sites other than Java.com as these sites may be malicious.
By Eric P. Maurice-Oracle on Feb 05, 2016
The Oracle Software Security Assurance Blog
Oracle Security Alert for CVE-2016-0603
- 実験、検証環境
- The environment of confirmation and experiment
- Windows XP Pro SP3 x86 : ASUS P5W-DH-DX, ASUS P5QL-E
- Windows 7 Pro sp1 x86 : ASUS P8Z77-M Pro, HP ProBook 5310m
- Windows 8.1 Pro x64 : 富士通 (Fujitsu) LifeBook S762/F, P772/G
- Windows 10 Pro x64 : 富士通 (Fujitsu) LifeBook S762/F
- Strict No_GWX : Windows10の広告、遠隔診断を取り除いた機体用
Revised on 07 Feb. 2016
Issued by Volitional Engineering
( winveg.com ) on 06 Feb. 2016