1. HOME
  2. Information
  3. Security Alert
  4. Oracle Sun JDK および JRE の脆弱性について

コンテンツ

Security Alert

Oracle Sun JDK および JRE の脆弱性について

publication date : Apr.16, 2010


■概要

Oracle 社の JDK および JRE には複数の脆弱性があります.結果として,遠隔の第三者は細工した Web サイト等をユーザに閲覧させることで,任意のコードを実行したりする可能性があります.また,本脆弱性を使用したと思われる攻撃サイトが既に公開されています.早急なパッチ適用をお勧めします.
  Oracle Security Alert CVE-2010-0886
  http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0886.html

■対象
 対象となる製品とバージョンは以下の通りです.
  JDK および JRE 6 Update 19  およびそれ以前
※一部メーカー製 PC では,JRE がプリインストールされている場合があります.念のため,利用中の PC に JRE がインストールされているかどうかを確認してください.

■JPCERT/CCによる検証結果
JPCERT/CC では,本脆弱性を使用する攻撃実証コードについて検証を行いました.
    [検証環境]
    OS: Windows XP SP3   (2010年4月セキュリティ更新プログラム適用済み)
     ブラウザ: IE:  8.0.6001.18702 または Firefox: 3.6.3

  - JRE 6 Update 19  での検証結果
    上記検証環境に JRE 6 update 19 をインストールした構成にて,実証    コードを実行した結果,calc.exe が実行されることを確認.
    (ブラウザ上 に Java  のロゴが表示される)

  - JRE 6 Update 20 での検証結果
    上記検証環境に JRE 6 update 20 をインストールした構成にて,実証    コードを実行した結果,calc.exe が実行されないことを確認.
    (ブラウザ上 に Java  のロゴが表示されない)

■対策方法

 Oracle 社より提供されている修正済みソフトウエア(update 20)を適用してください. 
  Java SE Downloads
  http://java.sun.com/javase/downloads/index.jsp
64bit 版 Windows を使用している場合,32bit 版 JRE,64bit 版 JDK/JRE のいずれか,または両方がインストールされている場合がありますので,利用している JDK/JRE をご確認の上,修正済ソフトウエアを適用して下さい.

■参考情報

IPA

 http://www.ipa.go.jp/security/ciadr/vul/20100416-java.html

Oracle
  Security Alert for CVE-2010-0886 and  CVE-2010-0887 Released
  http://blogs.oracle.com/security/2010/04/security_alert_for_cve-2010-08.html

  JVNVU#886582
  Oracle Sun Java  Deployment Toolkit に引数の検証処理に問題
  https://jvn.jp/cert/JVNVU886582/index.html

  ISS Tokyo SOC Report
  Java Deployment Toolkit の脆弱性を悪用したゼロディ攻撃を観測
  https://www-950.ibm.com/blogs/tokyo-soc/entry/javaws-201004?lang=ja

Related Information
Inquiry 京都大学 情報環境部 情報基盤課 情報セキュリティ対策室
TEL:075-753-7490/7492(7490/7491/7492)
E-mail:i-s-officemedia.kyoto-u.ac.jp

Back to Security Alert

 

Copyright © Institute for Information Management and Communication, Kyoto University, all rights reserved.