コンテンツ
セキュリティ情報
Oracle Sun JDK および JRE の脆弱性について
2010年4月16日(金曜日)掲載
■概要
Oracle 社の JDK および JRE には複数の脆弱性があります.結果として,遠隔の第三者は細工した Web サイト等をユーザに閲覧させることで,任意のコードを実行したりする可能性があります.また,本脆弱性を使用したと思われる攻撃サイトが既に公開されています.早急なパッチ適用をお勧めします.
Oracle Security Alert CVE-2010-0886
http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0886.html
■対象
対象となる製品とバージョンは以下の通りです.
JDK および JRE 6 Update 19 およびそれ以前
※一部メーカー製 PC では,JRE がプリインストールされている場合があります.念のため,利用中の PC に JRE がインストールされているかどうかを確認してください.
■JPCERT/CCによる検証結果
JPCERT/CC では,本脆弱性を使用する攻撃実証コードについて検証を行いました.
[検証環境]
OS: Windows XP SP3 (2010年4月セキュリティ更新プログラム適用済み)
ブラウザ: IE: 8.0.6001.18702 または Firefox: 3.6.3
- JRE 6 Update 19 での検証結果
上記検証環境に JRE 6 update 19 をインストールした構成にて,実証 コードを実行した結果,calc.exe が実行されることを確認.
(ブラウザ上 に Java のロゴが表示される)
- JRE 6 Update 20 での検証結果
上記検証環境に JRE 6 update 20 をインストールした構成にて,実証 コードを実行した結果,calc.exe が実行されないことを確認.
(ブラウザ上 に Java のロゴが表示されない)
■対策方法
Oracle 社より提供されている修正済みソフトウエア(update 20)を適用してください.
Java SE Downloads
http://java.sun.com/javase/downloads/index.jsp
64bit 版 Windows を使用している場合,32bit 版 JRE,64bit 版 JDK/JRE のいずれか,または両方がインストールされている場合がありますので,利用している JDK/JRE をご確認の上,修正済ソフトウエアを適用して下さい.
■参考情報
IPA
http://www.ipa.go.jp/security/ciadr/vul/20100416-java.html
Oracle
Security Alert for CVE-2010-0886 and CVE-2010-0887 Released
http://blogs.oracle.com/security/2010/04/security_alert_for_cve-2010-08.html
JVNVU#886582
Oracle Sun Java Deployment Toolkit に引数の検証処理に問題
https://jvn.jp/cert/JVNVU886582/index.html
ISS Tokyo SOC Report
Java Deployment Toolkit の脆弱性を悪用したゼロディ攻撃を観測
https://www-950.ibm.com/blogs/tokyo-soc/entry/javaws-201004?lang=ja
関連情報 |
Oracle Sun JDK および JRE の脆弱性に関する注意喚起(JPCERT/CC) |
お問い合わせ |
京都大学 情報環境部 情報基盤課 情報セキュリティ対策室
電話番号:075-753-7490/7492(内線7490/7491/7492) E-mail:i-s-office ![]() お問い合わせフォーム |