Hitach Incident Response Team

 3月30日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Java SE 8リリース(2014/03/18)

 Java SE 8では、TLS 1.1/1.2のデフォルト有効化、パスワードベースの暗号アルゴリズムとしてPBEWithSHA256AndAES_128とPBEWithSHA512AndAES_256のサポート、SHA-224のサポート、SecureRandomクラスでのエントロピーの高い乱数生成などの改善が図られています。

 また、これまでサーバー接続にURLPermissionの使用を許可していたサンドボックス型RIA(Rich Internet Applications)の動作について実装上の変更が発生しています。具体的には、SocketPermissionでのサーバー接続はできない、HTTPで起動した場合にはHTTPSでサーバー接続はできない、HTTP/HTTPSで起動した場合には80/443以外のポート番号にサーバー接続はできない(起動したポート番号と同じポート番号のみ許可)、ドメイン名(https://www.example.com:8080)で起動した場合にはIPアドレス(https://192.0.2.1:8080)でサーバー接続はできないなどです。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら