java vmの脆弱性

今日、マイクロソフトのサイトで「JAVAアプレット」と「仮想マシンサンドボックス」についてのセキュリティ情報が掲載されていました。これら２つは、JAVA　VMの脆弱性についての事のようですが、JAVA VMとは何ですか？
また、この脆弱性によりどんな自体が引き起こされる可能性があるのでしょうか？
最後に、数ヶ月前に「ActiveXコンポーネント～」の対応で
VMのビルドを3802にしたのですが、これで今回の２つの問題は解決できるのでしょうか？

No.3 回答者： ranx 回答日時： 2001/12/14 17:41

何てこった！！

No.2の説明ですが、まだ不正確でした。
VMで動くのがアプレットだけのような書き方をしてしまいましたが、
JavaアプリケーションもやはりVM上で動きます。
ただ、アプレットの方に制限があるのはNo.2に書いた通りで、
その制限を実現する仕組みを「サンドボックス」と呼んでいます。

混乱に拍車をかけてしまって、申し訳ありません。

No.2 回答者： ranx 回答日時： 2001/12/12 17:33

情報が混乱しているようですね。

マイクロソフト社は、現在Javaアプレットを動かす仕組みとしてＩＥに組み込まれているものに対し、
Java VMの名称を使っていません。サン・マイクロシステムズ社から訴えられて敗訴したため、現在は
Microsoft VMと呼んでいます。ですから、superstarさんがどこでご質問の情報をご覧になったのか、
やや不思議な気がします。

で、このVMですが、Virtual Machineを意味するものであることはJOYBOXさんの仰る通りなのですが、
ここで動くものは、Javaアプレットという特別なプログラムで、Javaアプリケーションとは異なります。
何が違うかというと、アプレットはWebサイトから自動的にダウンロードされて実行されるため、
通常のプログラムと同じような作り方をされていると、ユーザーのセキュリティを侵すような動作を
勝手にしてしまう恐れがあるのです。そのようなことを避けるため、アプレットができることには、
様々な制限が設けられているのです。その一つに、アプレットはダウンロード元のサイト以外へは
データを送信できないという制限があります。今回の脆弱性は、この制限機能に問題があって、
データが送信されてしまう可能性があったということのようです。通常は問題にはなりませんが、
機密性のあるサイトとこのJavaアプレットのあるサイトとを行ったり来たりすると、ユーザーの
機密情報が盗まれてしまう可能性があります。

なお、名前が似ているので紛らわしいのですが、JavaとJavaスクリプトは全く別のものです。
JOYBOXさんが紹介されている「背筋も凍る」情報はJavaスクリプトに関するもので、この件とは
関係ありません。

3802で対応できるかということですが、マイクロソフト社の発表を信じれば、それで大丈夫なはず
です。．．．しかし、この会社の言うことって信じていいのかな。

No.1 回答者： JOYBOX 回答日時： 2001/12/12 15:51

JAVA VMはJava Virtual Machineの略です。

Java 仮想マシン オペレーティングシステム に組み込まれた、Javaアプリケーションを実行するための環境です。

＞この脆弱性によりどんな自体が引き起こされる可能性があるのでしょうか？

背筋も凍る記事が以下のサイトに掲載されています。
http://www.zdnet.co.jp/news/0108/20/javascript.h …

Microsoft Windows 95/98/ME/NT/2000 上の Internet Explorer 4.x/5.x が対象ですから最新の6.0は大丈夫だと思いますが、今ユーザーが使っているＩＥのほとんどは影響を受けるでしょう。

くわばら　くわばら！
ウチは通常使うブラウザーをネットスケープに切り替えてますから安心ですが・・・

＞VMのビルドを3802にしたのですが、これで今回の２つの問題は解決できるのでしょうか？

今のところ不明です。