全オペレーティングシステムの Java のダウンロード一覧
Update Release Notes(英文)
Bug Fixes
This release contains fixes for security vulnerabilities.
javawebstart の Subcategory は other
java_deployment の Subcategory が security になってるなぁ。
関連
http://d.hatena.ne.jp/noushibou/20100413/1271123303
javaws.exe バージョン6.0.190.4はアクセス権を拒否設定にしてあってもJava(TM) 6 Update 19のアンインストールで削除され、バージョン6.0.200.2の拒否設定されていないjavaws.exeがインストールされます。
無効にしてあるプラグイン Java Deployment Toolkit 6.0.190.4も削除され、有効化された6.0.200.2がインストールされます。
ただし、Kill-Bitはそのままですので、有効にする場合はレジストリから削除する必要があります。
# Kill-Bit、プラグイン Java Deployment Toolkitを無効にしてあっても
# MyJVN バージョンチェッカ / MyJVN セキュリティ設定チェッカは動くので
# そのまんまにしますけど。(^^ゞ
4/16 追記
OracleがJavaの臨時アップデートを公開 - ITmedia News
上記関連リンクより
Security Alert for CVE-2010-0886 and CVE-2010-0887 Released - The Oracle Global Product Security Blog
Oracle Security Alert CVE-2010-0886 - Oracle Technology Network
4/16 12:40 現在
Secunia Advisory SA39260 Sun Java Deployment Toolkit Argument Injection Vulnerability
は未更新。
Solution Status Unpatched
のまま。
Java Deployment Toolkit の脆弱性を悪用したゼロディ攻撃を観測 - Tokyo SOC Report
↑ 昨日から2ちゃんねるのスレッドで紹介されていた記事。
4/16 21:30 追記
Secunia Advisory SA39260 Sun Java Deployment Toolkit Argument Injection Vulnerability
Last Update 2010-04-16
Solution
Update to JRE or JDK version 6 Update 20.
4/19 追記
Vulnerability Note VU#886582 Java Deployment Toolkit insufficient argument validation - US-CERT
III. Solution
Apply an update
This issue is addressed in Java 1.6.0_20. Please see the release notes for more details. This update provides new versions of the Java Deployment Toolkit ActiveX control and plug-in. The update also sets the kill bit for the vulnerable version of the ActiveX control.
Note: The installer for Java 1.6.0_20 may not correctly update all instances of the Java Deployment Toolkit plugin. In some cases, the plugin that resides in the \bin\new_plugin directory may not be updated to the fixed 6.0.200.2 version of npdeployJava1.dll. If the new_plugin directory contains npdeploytk.dll version 6.0.190.4 or earlier, then browsers that use plug-ins, such as Mozilla Firefox or Google Chrome, may still be vulnerable. To correct this situation, delete the vulnerable npdeploytk.dll from the new_plugin directory and replace it with the npdeployJava1.dll version from the bin directory.
Please note that the Java Development Toolkit can be installed in multiple browsers, therefore workarounds need to be applied to all browsers with the Java Development Toolkit.
ふ〜ん、そんで "プラグイン 最新版 Java Deployment Toolkit 6.0.190.4" で検索されていらっしゃる方が多いのかしらん?
オラは昔からの癖でプログラムの追加と削除からアンインストール後、
C:\Program Files\Java
C:\WINDOWS\Sun\Java
C:\Documents and Settings\All Users\Application Data\Sun\Java
C:\Documents and Settings\ユーザ名\Application Data\Sun\Java
などのフォルダが残っていれば手動で削除後、新バージョンをインストールするのでトラブルにあったことはありませんが、要注意っと。
