2014年01月21日

"セキュリティ設定によってブロックされたアプリケーション" となって、Javaを利用したサイトが開けない

Javaを利用したサイト。Javaのセキュリティが、Java7 Update10以降厳しくなっていましたが、さらに今回のアップデートで、Update51にすると、Javaアプレットを利用したサイトに接続した際、そのセキュリティによって、Javaアプレットがブロックされてしまうことが発生しています。

j7u51-7.jpgj7u51-8.jpg

上記は一例ですが、Javaを利用しているサイトに接続すると、以下の様なエラーダイアログが表示されます。

j7u51-6.jpg

今回のUpdateは、IPAのページによれば以下のとおり。

Oracle Java の脆弱性対策について(CVE-2014-0410等)

角川書店のHP改ざんで判明した不具合を修正すべく配信されたものでもありますから、Updatesしないというわけにも行きません。
もっとも、この症状になっていると言うことはUpdate済みと言うことなので、現状では削除する以外に方法もなく、また削除しても再度Javaをインストールすると、現在配布されているUpdate51しかインストールができないため、同じことになってしまう可能性の方が大きいのが現状のようです。

弊社ホームページ改ざんに関するお詫びとご報告/角川ホールディングス(PDF)
ある国内大手出版社、悪質なiframe仕込まれる、閲覧者が「Gongda」の餌食に

さて今回のトラブルは、この脆弱性対策により配信された最新のJava7 Update51で発生するもの。
Update51と、その前に配信されていたUpdate45を比較してみました。
コントロールパネル>Java と開くとJavaのコントロール・パネルが表示されます。

<Java7 Update45の画面>
j7u45-1.jpgj7u45-3.jpg
j7u45-2.jpg

<Java7 Update51の画面>
j7u51-1.jpgj7u51-3.jpg
j7u51-2.jpg

一応このバージョンから、"Java 7 Update 51以降、ユーザーは通常セキュリティ・チェックでブロックされるアプリケーションを実行するように構成できます" とある様に、セキュリティのところで、従来からあったセキュリティレベルの調整の他、"例外サイト・リスト"を追加できるようにもなっており、ブロックされるアプリケーションを、このセキュリティの設定を調整して実行できるようになっているようですが、今回のUpdateによってブロックされているケースでは、調整によって、セキュリティレベルを下げることで利用可能になるサイトもあれば、下げても利用できないところもあるようです。
いくつか確認したところでは、さらに例外サイトに登録してもだめなケースもありましたので注意が必要です。

とりあえず既にUpdateしてしまったという場合には、

1) とりあえずJava7 Update51を削除して、再度Java7 Update51を入れ直してみる
平成26年1月16日 1月15日のJavaのアップデートについて/山陰合同銀行
上記のように入れ直しを薦めるサイトもあるようです。

2) コントロールパネル>Java と開いて、セキュリティタブを開いて、"セキュリティ・レベル" を "中" に落としてみる

j7u51-3.jpg

3) 同じく、セキュリティタブを開いて、"例外サイト・リスト" のところにある ”サイト・リストの編集” をクリックして、"追加" をクリックした上で、該当サイトのアドレスを入力し "追加" をクリックして追加してみる

j7u51-4.jpg

上記設定を行った場合には、念のためブラウザも再起動した上で再度ご確認になってみてください。

古いバージョンのJavaに戻してみるというのも一案ではありますが、古いバージョンのダウンロードにはOracleアカウントが必要なため、誰でもダウンロード出来るものではないこと、また今回の事件であった不具合を抱えていることからすると、一概に旧バージョンに戻すことがいいとも言えません。

今後、追加情報があれば、再度 Upさせて頂きます。

<参照>
[重要]2014年1月14日公開のJava 7 Update 51の適用時のご注意について(お知らせ)/富士通
Java 7 Update 51が公開!仕様が大幅に変更されたのでアップデートには注意!
信頼できないアプレットやアプリケーションがWebブラウザでいつ実行されるかを制御するにはどうすればよいですか
Javaの古いバージョンおよび関連ドキュメントはどこで入手できますか
HIRT-PUB14001:Java Runtime Environment (JRE) 7 でのセキュリティ機能の強化と導入にあたっての注意事項について
 * ただし無料のオラクルアカウントの登録が必要...
posted by クリック at 20:26| 東京 ☀| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック