[pukiwiki]
– [[cr0 blog: Write once, own everyone, Java deserialization issues:http://blog.cr0.org/2009/05/write-once-own-everyone.html%5D%5D – JVM における脆弱性の技術的な要旨を解説しています。標準的なクラスから、Sun が提供するカレンダー情報に係わるクラスにアクセスするために特権を一時的に上昇させ、そのなかで desirialize している点をついているようです。二つの問題があります。ひとつは Apple を含めたいくつかの OS ベンダーがこの脆弱性に対応していません。もうひとつは、Sun は対応をすませたことになっていますが、それは報告されたカレンダークラスの係わる場合への対処両方で、より一般的な場合には対応していないとのことです。さらに深刻なことに、ほとんどのブラウザで Java Applet はデフォルトで利用可能となっていて、多くのユーザは JVM のアップデートを頻繁にやっていません。ということで、当面の対処方法は、(1) JVM を最新のものにアップデートする、(2) Mac ユーザは Java Applet を利用不可に設定するというところでしょう。

[/pukiwiki]