OS XのJavaアップデート、脆弱性18件を修正 2009年9月3日
OS XのJavaアップデート、脆弱性18件を修正
危険度:中
2009年9月3日
【概要】
【詳細】
米国時間の9月3日、アップルはOS X 10.5.xを対象とするJavaセキュリティ・アップデートに関するアドバイザリをリリースした。同アドバイザリでは、OS XのJavaコンポーネントに見られる18件のセキュリティ脆弱性について説明がされている(数字はCVE-IDによる)。アップルはそのアドバイザリで問題の技術詳細には触れずに、その影響についてのみ説明している。 これらによる影響は大方同じであり、細工されたJava アプレットを含む悪性のウェブサイトにユーザを誘導すると、攻撃者はJava の欠陥を悪用してユーザのOS X でコードを実行したり、権限昇格をしたりすることができる。OS Xで管理アクセス権やルート権限を持っていないが、その時点でログインしているユーザの権限のみを攻撃者が獲得するケースが大半だという。しかしそれでも、アップルのOS X Javaアップデートをできる限り早急にインストールすることをすすめる。
【対策】
アップルはこうした欠陥を修正するJavaのOS X 10.5 Update 5 [dmg file]をリリースしている。OS X 10.5.x コンピュータを管理している場合は、できる限り早急にこのアップデートをダウンロードし、テストしてから取り入れることを勧める。
できる限り早急にアップデートをインストールするために、OS Xのソフトウェア・アップデート機能は今回のようなアップデートを自動的に検出し、ユーザに知らせることができる。アップルのソフトウェアを常に最新のものにしておくためにも、ソフトウェア・アップデート機能をオンにし、新しいアップデートがあるか毎日チェックすることを勧める。
【ウォッチガード・ユーザ】
大方のFirebox シリーズ製品に搭載されているHTTPプロキシ・ポリシーを使って自動的にJavaバイトコードを阻止することができる。大方のFireboxシリーズに搭載されているHTTPプロキシ・ポリシーは、デフォルト設定で自動的にJavaバイトコードを阻止するようになっているので、報告されている脆弱性のうち、いくつかによるリスクを幾分緩和させることができる。
【ステータス】
アップルはこうした問題を修正するJava OS X 10.5 Update 5をリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度:中
2009年9月3日
【概要】
- 対象:
OS X 10.5.x (Leopard) - 攻撃方法:
細工されたJava アプレットが埋め込まれている悪性のウェブサイトにユーザを誘導 - 影響:
最悪の場合、攻撃者はユーザの権限を利用しコードを実行する - 対策:
できる限り早急に Java for OS X 10.5 Update 5 をインストールすること
【詳細】
米国時間の9月3日、アップルはOS X 10.5.xを対象とするJavaセキュリティ・アップデートに関するアドバイザリをリリースした。同アドバイザリでは、OS XのJavaコンポーネントに見られる18件のセキュリティ脆弱性について説明がされている(数字はCVE-IDによる)。アップルはそのアドバイザリで問題の技術詳細には触れずに、その影響についてのみ説明している。 これらによる影響は大方同じであり、細工されたJava アプレットを含む悪性のウェブサイトにユーザを誘導すると、攻撃者はJava の欠陥を悪用してユーザのOS X でコードを実行したり、権限昇格をしたりすることができる。OS Xで管理アクセス権やルート権限を持っていないが、その時点でログインしているユーザの権限のみを攻撃者が獲得するケースが大半だという。しかしそれでも、アップルのOS X Javaアップデートをできる限り早急にインストールすることをすすめる。
【対策】
アップルはこうした欠陥を修正するJavaのOS X 10.5 Update 5 [dmg file]をリリースしている。OS X 10.5.x コンピュータを管理している場合は、できる限り早急にこのアップデートをダウンロードし、テストしてから取り入れることを勧める。
できる限り早急にアップデートをインストールするために、OS Xのソフトウェア・アップデート機能は今回のようなアップデートを自動的に検出し、ユーザに知らせることができる。アップルのソフトウェアを常に最新のものにしておくためにも、ソフトウェア・アップデート機能をオンにし、新しいアップデートがあるか毎日チェックすることを勧める。
【ウォッチガード・ユーザ】
大方のFirebox シリーズ製品に搭載されているHTTPプロキシ・ポリシーを使って自動的にJavaバイトコードを阻止することができる。大方のFireboxシリーズに搭載されているHTTPプロキシ・ポリシーは、デフォルト設定で自動的にJavaバイトコードを阻止するようになっているので、報告されている脆弱性のうち、いくつかによるリスクを幾分緩和させることができる。
【ステータス】
アップルはこうした問題を修正するJava OS X 10.5 Update 5をリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。