Oracle(Sun)Java アップデートが27のセキュリティ問題を修正 2010年3月31日
Oracle(Sun)Java アップデートが27のセキュリティ問題を修正
危険度:高
2010年3月31日
概要:
詳細:
サン・マイクロシステムズによって初めて実施されたプログラミング言語のJavaは、ウェブページに巧妙な機能を追加するためによく使われており 今日見られるオペレーティング・システムの大方は、ウェブサイトやその他からのJavaコードを認識・処理するためにJavaインタプリタを実行している。OracleのSunJavaランタイム・エンバイロメント (JRE)は、現在インターネットで一番人気が高いJavaインタプリタのひとつである。 ところが米国時間の3月30日、Secuniaがセキュリティ・アラートを発表しWindowsやSolaris、Linuxなどのプラットフォームで使用されている、これまでにリリースされたSun JRE(およびSun Java SDK)全てのバージョンに影響する27の脆弱性について警告した。各脆弱性は技術的には大きく異なるものの、細工したJavaを取り入れた悪質なウェブページにユーザを誘導するなどして、攻撃者は似たような方法で、それぞれの問題を悪用することができる。最悪の場合、ユーザがそのような悪質なサイトを訪れると、攻撃者はJavaの欠陥をいくつか利用してユーザのコンピュータで攻撃用コードを実行することができる。また、ユーザにローカル管理者の権限がある場合、攻撃者はこうした欠陥を悪用することで、ユーザのコンピュータを完全に操作できるようになる可能性がある。さらに攻撃者は、その他の脆弱性を使ってサービス拒否攻撃を開始したり、ユーザのコンピュータにある機密情報を開示したりすることもできる。
SolarisネットワークやLinuxネットワークを実行している場合は、おそらくSun JREを使用しているかどうか知っていることだろう(大方の場合は使用している)。 しかし過去にはマイクロソフト独自のJavaインタプリタであるJava仮想マシン(MSJVM)がWindowsに搭載されていたため、Windowsネットワークを管理している場合、その状況はそれほど明確ではない。過去のバージョンのIEは、このMSJVMを使用してJavaアプレットを解釈するため、IEを使用している大方のウィンドウズ・ユーザはこの欠陥に対して脆弱ではない。マイクロソフトはSunとの法的な争いから、最新バージョンのWindowsでMSJVMの使用を打ち切ることになった。例えば、Windows Server 2003やSP1やSP2に付いてくるWindows XPバージョンにはMSJVMが搭載されていない(自分でSP1やSP2にアップグレードしたXPユーザはMSJVMを使用している)。Windows 7 とServer 2008もMSJVMに搭載されていない。新にリリースされたWindowsでは、自分でJavaインタプリタをダウンロードしなければならないようになっているため、その場合はおそらくSun JREを使用していることだろう。こうした理由から早急にアップデートすることが必要だ。
対策:
Sunは様々なJREやSDKアップデートをリリースし、この問題を修正している。ネットワークでSun JREを使用している場合は、できる限り早急に状況に適したアップデートをダウンロードし導入すること。
Sun JRE クライアントが自動的にアップデート通知を行うこともあるので、その場合はそれに従ってこのアップデートをインストールすること。
ウォッチガード・ユーザ:
ウォッチガードのFirebox製品の中には、ユーザがウェブサイトからJavaアプレットをダウンロードできないようにするものもあるが、そうすることで、Javaアプレットを使用している正規のウェブサイトの機能も損なうことになる。Javaアプレットを遮断したくない場合は、適切なSun JREアップデートをできる限り早急にダウンロードすることだ。Javaアプレットの使用を阻止することで、こうした問題によるリスクを軽減させることができるが、それは全てに対してではないことに注意しよう。こうした理由から、Sunのアップデートが主な対策となる。 FireboxのHTTPプロキシを使ってJavaアプレットを遮断する方法については、HTTP Proxy Advanced FAQの「Deny Java Applets」の欄を参照することをすすめる。
ステータス:
Sunはこうした問題を修正するアップデートをリリースしている。
参考資料:
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度:高
2010年3月31日
概要:
- 対象:
Windows、Solaris、Linux 対象のSun Java Runtime Environment(JRE)全バージョンと、 3月30日以前にリリースされたJava Development Kit(JDK)
- 攻撃方法:
細工したJavaを含む悪質なウェブページにユーザを誘導するなど、様々な攻撃方法がある
- 影響:
結果は様々だが、最悪の場合には攻撃者がユーザのコンピュータを完全に操作できるようになる
- 対策:
できる限り早急に状況に適したJRE(またはJDK)のアップデートをインストールすること
詳細:
サン・マイクロシステムズによって初めて実施されたプログラミング言語のJavaは、ウェブページに巧妙な機能を追加するためによく使われており 今日見られるオペレーティング・システムの大方は、ウェブサイトやその他からのJavaコードを認識・処理するためにJavaインタプリタを実行している。OracleのSunJavaランタイム・エンバイロメント (JRE)は、現在インターネットで一番人気が高いJavaインタプリタのひとつである。 ところが米国時間の3月30日、Secuniaがセキュリティ・アラートを発表しWindowsやSolaris、Linuxなどのプラットフォームで使用されている、これまでにリリースされたSun JRE(およびSun Java SDK)全てのバージョンに影響する27の脆弱性について警告した。各脆弱性は技術的には大きく異なるものの、細工したJavaを取り入れた悪質なウェブページにユーザを誘導するなどして、攻撃者は似たような方法で、それぞれの問題を悪用することができる。最悪の場合、ユーザがそのような悪質なサイトを訪れると、攻撃者はJavaの欠陥をいくつか利用してユーザのコンピュータで攻撃用コードを実行することができる。また、ユーザにローカル管理者の権限がある場合、攻撃者はこうした欠陥を悪用することで、ユーザのコンピュータを完全に操作できるようになる可能性がある。さらに攻撃者は、その他の脆弱性を使ってサービス拒否攻撃を開始したり、ユーザのコンピュータにある機密情報を開示したりすることもできる。
SolarisネットワークやLinuxネットワークを実行している場合は、おそらくSun JREを使用しているかどうか知っていることだろう(大方の場合は使用している)。 しかし過去にはマイクロソフト独自のJavaインタプリタであるJava仮想マシン(MSJVM)がWindowsに搭載されていたため、Windowsネットワークを管理している場合、その状況はそれほど明確ではない。過去のバージョンのIEは、このMSJVMを使用してJavaアプレットを解釈するため、IEを使用している大方のウィンドウズ・ユーザはこの欠陥に対して脆弱ではない。マイクロソフトはSunとの法的な争いから、最新バージョンのWindowsでMSJVMの使用を打ち切ることになった。例えば、Windows Server 2003やSP1やSP2に付いてくるWindows XPバージョンにはMSJVMが搭載されていない(自分でSP1やSP2にアップグレードしたXPユーザはMSJVMを使用している)。Windows 7 とServer 2008もMSJVMに搭載されていない。新にリリースされたWindowsでは、自分でJavaインタプリタをダウンロードしなければならないようになっているため、その場合はおそらくSun JREを使用していることだろう。こうした理由から早急にアップデートすることが必要だ。
対策:
Sunは様々なJREやSDKアップデートをリリースし、この問題を修正している。ネットワークでSun JREを使用している場合は、できる限り早急に状況に適したアップデートをダウンロードし導入すること。
- JRE / JDK 6.0: アップデート19のダウンロード先
Sun JRE クライアントが自動的にアップデート通知を行うこともあるので、その場合はそれに従ってこのアップデートをインストールすること。
ウォッチガード・ユーザ:
ウォッチガードのFirebox製品の中には、ユーザがウェブサイトからJavaアプレットをダウンロードできないようにするものもあるが、そうすることで、Javaアプレットを使用している正規のウェブサイトの機能も損なうことになる。Javaアプレットを遮断したくない場合は、適切なSun JREアップデートをできる限り早急にダウンロードすることだ。Javaアプレットの使用を阻止することで、こうした問題によるリスクを軽減させることができるが、それは全てに対してではないことに注意しよう。こうした理由から、Sunのアップデートが主な対策となる。 FireboxのHTTPプロキシを使ってJavaアプレットを遮断する方法については、HTTP Proxy Advanced FAQの「Deny Java Applets」の欄を参照することをすすめる。
ステータス:
Sunはこうした問題を修正するアップデートをリリースしている。
参考資料:
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。