Hitach Incident Response Team

 3月30日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Java SE 8リリース(2014/03/18)

 Java SE 8では、TLS 1.1/1.2のデフォルト有効化、パスワードベースの暗号アルゴリズムとしてPBEWithSHA256AndAES_128とPBEWithSHA512AndAES_256のサポート、SHA-224のサポート、SecureRandomクラスでのエントロピーの高い乱数生成などの改善が図られています。

 また、これまでサーバー接続にURLPermissionの使用を許可していたサンドボックス型RIA(Rich Internet Applications)の動作について実装上の変更が発生しています。具体的には、SocketPermissionでのサーバー接続はできない、HTTPで起動した場合にはHTTPSでサーバー接続はできない、HTTP/HTTPSで起動した場合には80/443以外のポート番号にサーバー接続はできない(起動したポート番号と同じポート番号のみ許可)、ドメイン名(https://www.example.com:8080)で起動した場合にはIPアドレス(https://192.0.2.1:8080)でサーバー接続はできないなどです。