IE「Javaアプレットのスクリプト」の無効は無意味! Java脆弱性対策ならず

Internet Explorerブラウザで Java を無効にする方法として、実際にはJavaが無効化されない説明をのせてるところが複数あります。

・ Javaの無効化方法で間違い解説ページたくさん!? IEブラウザ向け

これとは別に、Javaを無効化できない間違った情報をのせてるページが、最近のJava脆弱性の話題に合わせて登場しちゃってる感じ。。。

IEの設定「Javaアプレットのスクリプト」の無効化は意味なし



IEのインターネットオプション → [セキュリティ]タブをクリックし、[レベルのカスタマイズ]ボタンを押して「Javaアプレットのスクリプト」の部分を変更する 

Java のゼロデイ脆弱性を悪用してウイルスを強制感染させるドライブバイ・ダウンロードと呼ばれる攻撃手法になるけど、↓同じ実験を再び実施してみました~。
 
イメージ 1
”無効”にしてるのにウイルス感染… \(^o^)/オワタ

何か謎の実行ファイル(T8AJ1.exe = マルウェア)が勝手に裏でダウンロードされ、勝手に裏でいきなり起動して、きっちり普通にひっそり動いてる~

結論 ⇒ その設定は Java の無効化とはまったく関係ない

危険なJava! ウイルス対策としてどうすれば?



「Javaアプレットのスクリプト」 という紛らわしい表現だけれど、JavaScript に関連する処理のようで、『JavaアプレットのメソッドをJavaScriptから呼ぶ機能です』 とのことです。
 

 
[追記...]

・ 脆弱性の修正を行ったJava 7 Update 21リリース! 更新しないとウイルス感染