Javaの脆弱性をSunが修正 2009年11月5日
Javaの脆弱性をSunが修正
危険度: 高
2009年11月5日
【概要】
【詳細】
サン・マイクロシステムズによって初めて実施されたプログラミング言語のJavaは、ウェブページに巧妙な機能を追加するためによく使われており今日見られるオペレーティング・システムの大方は、ウェブサイトやその他からのJavaコードを認識し処理するためにJavaインタプリタを実行している。SunのJavaランタイム・エンバイロメント (JRE)は現在インターネットで一番人気が高いJavaインタプリタのひとつである。
ところが11月4日、Secuniaはセキュリティ・アラートを発表しWindowsやSolaris、Linuxなどのプラットフォームで使用されている、これまでにリリースされたSun JRE(およびSun Java SDK)全てのバージョンに影響している複数の脆弱性(12件ほど)について警告した。各脆弱性の技術面は大きく異なるものの、攻撃者は細工したJavaを取り入れた悪質なウェブページにユーザを誘導するなどして、似たような方法で各問題を悪用することができる。最悪の場合、ユーザがそのような悪質なサイトを訪れると攻撃者はJavaの欠陥をいくつか利用してユーザのコンピュータで攻撃用コードを実行できる。また、ユーザにローカル管理者の権限がある場合、攻撃者はこうした欠陥を悪用することでユーザのコンピュータを完全に操作できるようになる可能性もある。さらに、攻撃者はその他の脆弱性を使い、ユーザのコンピュータでサービス拒否攻撃を開始したり権限昇格を行ったりすることもできる。
SolarisネットワークやLinuxネットワークを実行している場合は、おそらくSun JREを使用しているかどうか分かるだろう(大方の場合は使用している)。 しかし過去にはマイクロソフト独自のJavaインタプリタであるJava仮想マシン(MSJVM)がWindowsに搭載されていたため、Windowsネットワークを管理している場合、その状況はそれほど明確ではない。過去のバージョンのIEは、このMSJVMを使用してJavaアプレットを解釈するため、IEを使用している大方のウィンドウズ・ユーザにおいては、この欠陥は脆弱ではない。マイクロソフトはSunとの法的な争いから、最新バージョンのWindowsでMSJVMの使用を打ち切ることになった。例えば、Windows Server 2003やSP1やSP2に付いてくるWindows XPバージョンにはMSJVMが搭載されていない(自分でSP1やSP2にアップグレードしたXPユーザはMSJVMを使用している)。新にリリースされたWindowsでは自分でJavaインタプリタをダウンロードしなければならないようになっているため、その場合はおそらくSun JREを使用していることだろう。こうした理由から早急にアップデートすることが必要だ。
Javaを解釈するIEバージョンが確かでない場合は、次の方法を参照することをすすめる:
IEの(ツール)⇒ (インターネット・オプション)⇒(アドバンス)タブをクリックする。マイクロソフトVMの欄までスクロールダウンし、「Javaコンソール」をチェックし有効にする。IEを再起動させ、(閲覧)⇒Javaコンソールに行く。そうすると、IEが使用しているJavaインタプリタの名称とバージョン番号を表示するウィンドウズが現れる。Sun JREを使用していない場合は、この問題の影響はない。
【対策】
Sunは様々なJREやSDKアップデートをリリースし、この問題を修正している。ネットワークでSun JREを使用している場合は、できる限り早急に状況に適したアップデートをダウンロードし導入すること。
【ウォッチガード・ユーザ】
ウォッチガードのFirebox製品の中には、ユーザがウェブサイトからJavaアプレットをダウンロードできないようにするものもあるが、そうすることでJavaアプレットを使用している正規のウェブサイトの機能も損なうことになる。Javaアプレットを遮断したくない場合は、適切なSun JREアップデートをできる限り早急にダウンロードすること。Javaアプレットの使用を阻止することでこうした問題によるリスクを軽減させることができるが、それは全てに対してではないことに注意しよう。こうした理由から、Sunのアップデートを取り入れることが主な対策となる。 FireboxのHTTPプロキシを使ってJavaアプレットを遮断する方法については、HTTP Proxy Advanced FAQの「Deny Java Applets」の欄を参照。
【ステータス】
Sunは問題を修正するアップデートをリリースしている。
【参考資料】
· SecuniaによるJavaのアドバイザリ
· SunのJavaアドバイザリ:
危険度: 高
2009年11月5日
【概要】
- 対象:
Windows、Solaris、Linux 対象のSun Java Runtime Environment (JRE)の全バージョンと11月4日以前にリリースされた Java Development Kit (JDK)
- 攻撃方法:
細工したJavaを含む悪質なウェブページにユーザを誘導するなど、様々な攻撃方法がある
- 影響:
結果は様々だが、最悪の場合には攻撃者がユーザのコンピュータを完全に操作できるようになる
- 対策:
できる限り早急に、状況に適したJRE(またはJDK)のアップデートをインストールすること
【詳細】
サン・マイクロシステムズによって初めて実施されたプログラミング言語のJavaは、ウェブページに巧妙な機能を追加するためによく使われており今日見られるオペレーティング・システムの大方は、ウェブサイトやその他からのJavaコードを認識し処理するためにJavaインタプリタを実行している。SunのJavaランタイム・エンバイロメント (JRE)は現在インターネットで一番人気が高いJavaインタプリタのひとつである。
ところが11月4日、Secuniaはセキュリティ・アラートを発表しWindowsやSolaris、Linuxなどのプラットフォームで使用されている、これまでにリリースされたSun JRE(およびSun Java SDK)全てのバージョンに影響している複数の脆弱性(12件ほど)について警告した。各脆弱性の技術面は大きく異なるものの、攻撃者は細工したJavaを取り入れた悪質なウェブページにユーザを誘導するなどして、似たような方法で各問題を悪用することができる。最悪の場合、ユーザがそのような悪質なサイトを訪れると攻撃者はJavaの欠陥をいくつか利用してユーザのコンピュータで攻撃用コードを実行できる。また、ユーザにローカル管理者の権限がある場合、攻撃者はこうした欠陥を悪用することでユーザのコンピュータを完全に操作できるようになる可能性もある。さらに、攻撃者はその他の脆弱性を使い、ユーザのコンピュータでサービス拒否攻撃を開始したり権限昇格を行ったりすることもできる。
SolarisネットワークやLinuxネットワークを実行している場合は、おそらくSun JREを使用しているかどうか分かるだろう(大方の場合は使用している)。 しかし過去にはマイクロソフト独自のJavaインタプリタであるJava仮想マシン(MSJVM)がWindowsに搭載されていたため、Windowsネットワークを管理している場合、その状況はそれほど明確ではない。過去のバージョンのIEは、このMSJVMを使用してJavaアプレットを解釈するため、IEを使用している大方のウィンドウズ・ユーザにおいては、この欠陥は脆弱ではない。マイクロソフトはSunとの法的な争いから、最新バージョンのWindowsでMSJVMの使用を打ち切ることになった。例えば、Windows Server 2003やSP1やSP2に付いてくるWindows XPバージョンにはMSJVMが搭載されていない(自分でSP1やSP2にアップグレードしたXPユーザはMSJVMを使用している)。新にリリースされたWindowsでは自分でJavaインタプリタをダウンロードしなければならないようになっているため、その場合はおそらくSun JREを使用していることだろう。こうした理由から早急にアップデートすることが必要だ。
Javaを解釈するIEバージョンが確かでない場合は、次の方法を参照することをすすめる:
IEの(ツール)⇒ (インターネット・オプション)⇒(アドバンス)タブをクリックする。マイクロソフトVMの欄までスクロールダウンし、「Javaコンソール」をチェックし有効にする。IEを再起動させ、(閲覧)⇒Javaコンソールに行く。そうすると、IEが使用しているJavaインタプリタの名称とバージョン番号を表示するウィンドウズが現れる。Sun JREを使用していない場合は、この問題の影響はない。
【対策】
Sunは様々なJREやSDKアップデートをリリースし、この問題を修正している。ネットワークでSun JREを使用している場合は、できる限り早急に状況に適したアップデートをダウンロードし導入すること。
- JRE / JDK 6.0
アップデート17のダウンロード先 - JRE / JDK 5.0
アップデート22のダウンロード先 - Business JRE
とSDK 1.4.xのJava SE
バージョン1.4.2_24のダウンロード先 - JRE / SDK 1.3.x
バージョン1.3.1_27のダウンロード先
【ウォッチガード・ユーザ】
ウォッチガードのFirebox製品の中には、ユーザがウェブサイトからJavaアプレットをダウンロードできないようにするものもあるが、そうすることでJavaアプレットを使用している正規のウェブサイトの機能も損なうことになる。Javaアプレットを遮断したくない場合は、適切なSun JREアップデートをできる限り早急にダウンロードすること。Javaアプレットの使用を阻止することでこうした問題によるリスクを軽減させることができるが、それは全てに対してではないことに注意しよう。こうした理由から、Sunのアップデートを取り入れることが主な対策となる。 FireboxのHTTPプロキシを使ってJavaアプレットを遮断する方法については、HTTP Proxy Advanced FAQの「Deny Java Applets」の欄を参照。
【ステータス】
Sunは問題を修正するアップデートをリリースしている。
【参考資料】
· SecuniaによるJavaのアドバイザリ
· SunのJavaアドバイザリ:
- SunドキュメントID 269868
- SunドキュメントID 269869
- SunドキュメントID 269870
- SunドキュメントID 270474
- SunドキュメントID 270475
- SunドキュメントID 270476
この記事はコーリー・ナクライナーCorey Nachreiner, CISSPにより調査・執筆されました。