このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

MRJ (MacOS の Java の実行環境)のセキュリティホールについて

発言者:田中求之
( Date Saturday, December 16, 2000 14:02:48 )


サーバには直接関係ありませんが…

色々なところで情報が流れ始めていますので、ご存知の方も多いとは思います
が、Mac 上の Java の実行環境にセキュリティホールがあり、ハードディスクの
中のファイルの一覧などが他人に知られてしまう危険があります。

以下のページを参照してください。 …ブラウザの Java はオフにしておいた
方が安全かも。

→  MRJ 2.2.3 (Mac OS Runtime for Java) にセキュリティホール

今井真人 さんからのコメント
( Saturday, December 16, 2000 14:53:43 )

 ハードディスク名を「Macintosh HD」以外にしておく方法でも、大丈夫なように思います。
ハードディスク名を知られてしまうとダメでしょうけど。

田中求之 さんからのコメント
( Saturday, December 16, 2000 16:06:25 )

>ハードディスク名を「Macintosh HD」以外にしておく方法でも

私がテストした範囲では、ルートを指定する( / だけでテストを実行する)
だけでリストが捕れましたから、基本的にハードディスク名には依存しない
ようですよ。

今井真人 さんからのコメント
( Saturday, December 16, 2000 16:26:55 )

 なんと。こりゃすぐ対策に回らないとえらいことになりますね。

今井真人 さんからのコメント
( Saturday, December 16, 2000 17:49:30 )

 私が職場で配付しようとする文書です。Windowsユーザにも声をかけます。
間違いがあれば、指摘して下さい。


(暫定対策)

  Netscape 4.x , 6の場合:
    「編集」メニューから「設定」を選び、左側の「カテゴリ」のところから
    「詳細」を選択して、「Javaを有効にする」のチェックボックスをオフに
    する。

 MacOS+Internet Explorerの場合:
    「編集」メニューから「初期設定」を選び、「Java」の項目を選択して、
    「Javaを有効にする」のチェックボックスをオフにする。

 Windows+Internet Explorerの場合:
    Internet Explorerの「ツール」メニューの「インターネットオプション」
    を開き、「セキュリティ」タブを選んで、「レベルのカスタマイズ」ボタ
    ンを押し、「Microsoft VM」の項目の「Javaの許可」のところで、「Java
    を無効にする」を選択し、「OK」ボタンを押します。

今井真人 さんからのコメント
( Saturday, December 16, 2000 17:52:21 )

(説明資料)

【MacOS+Netscape4.74以前、MRJを使っている場合は4.75でも対象】
【MacOS+Internet Explorer】

 解説文:
  http://java-house.etl.go.jp/ml/archive/j-h-b/039434.html
 ファイルリスト、ファイル不正読み出し体験デモ:
  http://java-house.etl.go.jp/~takagi/java/security/mrj-codebase1/
Test.html

【Windows+Netscape4.74以前】

 解説文:
 http://java-house.etl.go.jp/ml/archive/j-h-b/036131.html
 ファイルリスト、ファイル不正読み出し体験デモ:
 http://java-house.etl.go.jp/~takagi/java/security/netscape.net.
urlconnection/Test.html

【Windows+Internet Explorer】

 解説文:
 http://java-house.etl.go.jp/ml/archive/j-h-b/038905.html
 ファイルリスト、ファイル不正読み出し体験デモ:
 http://java-house.etl.go.jp/~takagi/java/security/ie-guninski-
codebase1/Test.html

今井真人 さんからのコメント
( Saturday, December 16, 2000 17:57:36 )

 Javaアプレットが勝手にローカルファイルを読みだして、
ポート80から送信するんだから、ファイヤウォールがある
から大丈夫ではありませんよ。この問題は深刻です。

たまちゃん さんからのコメント
( Saturday, December 16, 2000 21:30:03 )

Java ではありませんが,Windows の場合は Active X と Active
Script をオフにするのもお忘れなく。

ウイルスばらまきの何割かは防ぐことが出来ますし,もっと深刻な
事態も防ぐことが出来ます。

初心者のまさひこ さんからのコメント
( Sunday, December 17, 2000 05:28:13 )

英語版でもセキュリティホールは存在しますかね?

一月くらい前から、ヤフーのチャットしてると、調子が悪いんですが。。。

前薗 健一 さんからのコメント
( Sunday, December 17, 2000 05:56:27 )

今、友人の手伝いで、とあるサイトのホームページ作成をしているのですが、
Java Applet で画像を動かしたいと言われているんですよ。

Applet は freeware のものなのですが大丈夫かな?ちょっと心配。
Mac で動かすと、やたら遅いんだわ。これが。(--#

自分で Applet を作った方が安全ですよね。開発環境もあるし、サンプルもいくつか
知っているし。

うちだけの環境のせいかもしれませんが、Java Applet をコンテンツにしているページ
を読み込むと、ブラウザ ( Netscape Communicator ) が落ちる確率が高いですね。


田中求之 さんからのコメント
( Sunday, December 17, 2000 11:45:06 )

>ヤフーのチャットしてると、調子が悪いんですが。。。

Java の動作が不安定、あるいは遅いということかと思いますが、そのことと
セキュリティホールは、直接は関係ないですよ。

野本夏俊 さんからのコメント
( Monday, December 18, 2000 12:52:42 )

この問題って要するにJavaとJava appletが絡んだ場合の問題であって、
Java scriptは問題ないという認識でよいのでしょうか?

野本夏俊 さんからのコメント
( Monday, December 18, 2000 12:53:57 )

> JavaとJava appletが

じゃなくて、JavaとMRJがですかね。

前薗 健一 さんからのコメント
( Monday, December 18, 2000 13:14:26 )

というか、他人の作成した悪意のある Applet を読み込んだ時に
まずいことになるということではないでしょうか?

Java script でも悪さをしようと思えば、出来そうな気もしますけど。

micky さんからのコメント
( Friday, January 19, 2001 10:50:15 )

こんにちは、mickyです。

北米版ですが、MRJ 2.2.4が配付されています。リードミーによると、
ローカルのHDDにアクセスすることができたセキュリティホールを
ふさいだようです。原文は、

>Mac OS Runtime for Java (MRJ) 2.2.4 is an upgrade to MRJ 2.2.3
>which addresses a security issue affecting our users. In some
>cases, this would have permitted unauthorized applets to access
>the local hard drive. 

です。


→  Mac OS Runtime for Java 2.2.4
                                             (MRJ)