OS XのJavaセキュリティ問題

危険度：中

日付：2007年12月14日


対象
　・OS X バージョン10.4.x （Leopard 10.5は対象外)

悪用法
　・細工したウェブサイトにユーザーを招き寄せる。

影響
　・攻撃者は、ユーザーのコンピューターでコードを実行したり、ユーザーのキーチェイン（パスワード）を変更するなどして、ユーザーのコンピューターを完全にコントロールできるようにする。

対策
　・できる限り早急に［Java Release 6］をインストールすること。


【問題の詳細】

米国時間の12月14日、アップル社はOS X バージョン10.4に搭載されている、Javaコンポーネントに見られた複数のセキュリティ問題を対象にアラートを発行した（詳細情報は英語・ドイツ語・フランス語でのみ提供されている）。

Leopard(バージョン10.5)のユーザーへの影響はない。アップルは、こうしたセキュリティ問題の技術的な詳細情報を提供していないが、そうした欠陥がもたらす影響について説明している。例えば、攻撃者はJavaやJava2スタンダード版（J2SE）における複数の未特定問題を悪用し、ユーザーのOS Xコンピューターでコードを実行したり、権限を昇格させたりすることができる。又、攻撃者は別のJava未特定問題を悪用し、ユーザーのキーチェインからアイテムを追加したり削除したりすることができる。基本的に、キーチェインはOS Xのパスワードを管理する場所だ。

つまり、攻撃者は被害者のパスワードをいじることができる。こうした脆弱性を悪用する場合、攻撃者は細工したJavaコードを入れた悪性のウェブ・ページにOS Xユーザーを招き寄せなければならない。

【対策】

アップルはこうした問題を修正するOS X バージョン10.4用の［Java Release 6］をリリースしている。OS X 10を入れたコンピューターを管理している場合は、できる限り早急にJava Release 6をダウンロードし、テストしてから導入することをすすめる。

ダウンロード先（dmgファイル）

OS Xのソフトウェア・アップデート機能は、今回のOS Xのようなアップデートが入手可能になると、自動的にそれを感知しユーザーに知らせることができる。つまり、ユーザーは早急にアップデートをインストールすることができるようになる。アップルのソフトウェアを常に最新のものに保つためにも、ソフトウェア・アップデート機能が更新状況を毎日チェックするように設定しておくことをすすめる。

全ユーザー：

このような攻撃は、悪性のJavaバイトコードを入れたウェブページにユーザーが訪れることに依存する。大方のFireboxシリーズに搭載されているHTTPプロキシーは、自動的にディフォルトでJavaバイトコードをブロックするようになっている。ディフォルトのHTTPプロキシーでFireboxを管理している場合、こうした脆弱性を誘発させる悪性コードをダウンロードすることはできない。

【ステータス】

アップルは問題を修正したバージョンの［Java Release 6］をリリースしている。

【参考文献】

アップルのJavaに関するアラート（英語、フランス語、ドイツ語のみ）

アップルのソフトウェア・ダウンロード先（英語版）（日本語版）

アップルのセキュリティ・アップデート（日本語版）


このセキュリティ・アラートは、ウォッチガード・ライブセキュリティのコーリー・ナクライナーCISSPによって調査され書かれた記事です。