OS XのJavaアップデート 2008年9月25日
OS XのJavaアップデート
危険度:中
2008年9月25日
【概要】
対象:
OS X 10.4.x (Tiger)と10.5.x (Leopard)
悪用方法:
悪質なウェブサイトにユーザを誘導する。
影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる。
対策:
OS X 10.4 Release 7またはOS X 10.5 Update 2対象のJavaをできる限り早急にインストールすること。
【詳細】
米国時間の9月24日CiscoやMozillaのアラートがリリースされた間に、アップルは2件のアラートをリリースし、OS X 10.4 と10.5に搭載されているJavaコンポーネントをアップデートした。(1/2)OS XのJavaコンポーネントに見られる複数の脆弱性について説明したこのアラートでは、詳細が説明されている脆弱性もいくつかあるが、その他の問題については細かい情報が提供されていない。また、技術的には異なるものの、Javaの脆弱性がもたらす結果は同じである。攻撃者は細工したJavaコードを埋め込んだ悪質なウェブページにOS Xユーザが訪れるように誘導するだけで脆弱性を悪用でき、ユーザのOS Xで様々なJava欠陥を悪用し、コードを実行したり権限を昇格させたりすることができる。
【対策】
アップルはこうした問題を修正するJava Release 7 for OS X 10.4とJava for OS X 10.5 Update 2をリリースしている。OS Xコンピュータを管理している場合は、アップデートをできる限り早急にダウンロードし、テストしてから実施することをすすめる。OS Xのソフトウェア・アップデートは、このようなアップデートを自動的にチェックしてユーザに知らせるため、ユーザはいち早くアップデートをインストールすることができる。新しいアップデートを毎日チェックするためにアップルのソフトウェア・アップデートをセットし、ソフトウェアを常に最新のものにしておくこと。
ウォッチガード・ユーザ対象:
悪質なJavaバイトコードを入れたウェブページにユーザが行くことに依存する攻撃も中にはあるが、大方のFirebox製品に搭載されているHTTPプロキシのポリシーは、デフォルトでJavaバイトコードを自動的にブロックするようになっている。ディフォルトHTTPプロキシでFireboxを管理している場合、脆弱性を誘発する悪質なコードをユーザがダウンロードすることはできない。
【ステータス】
アップルはこうした問題を修正するOS X 10.4 対象のJava Release 7とOS X 10.5 Update 2対象のJavaをリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査され書かれた記事です。
危険度:中
2008年9月25日
【概要】
対象:
OS X 10.4.x (Tiger)と10.5.x (Leopard)
悪用方法:
悪質なウェブサイトにユーザを誘導する。
影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる。
対策:
OS X 10.4 Release 7またはOS X 10.5 Update 2対象のJavaをできる限り早急にインストールすること。
【詳細】
米国時間の9月24日CiscoやMozillaのアラートがリリースされた間に、アップルは2件のアラートをリリースし、OS X 10.4 と10.5に搭載されているJavaコンポーネントをアップデートした。(1/2)OS XのJavaコンポーネントに見られる複数の脆弱性について説明したこのアラートでは、詳細が説明されている脆弱性もいくつかあるが、その他の問題については細かい情報が提供されていない。また、技術的には異なるものの、Javaの脆弱性がもたらす結果は同じである。攻撃者は細工したJavaコードを埋め込んだ悪質なウェブページにOS Xユーザが訪れるように誘導するだけで脆弱性を悪用でき、ユーザのOS Xで様々なJava欠陥を悪用し、コードを実行したり権限を昇格させたりすることができる。
【対策】
アップルはこうした問題を修正するJava Release 7 for OS X 10.4とJava for OS X 10.5 Update 2をリリースしている。OS Xコンピュータを管理している場合は、アップデートをできる限り早急にダウンロードし、テストしてから実施することをすすめる。OS Xのソフトウェア・アップデートは、このようなアップデートを自動的にチェックしてユーザに知らせるため、ユーザはいち早くアップデートをインストールすることができる。新しいアップデートを毎日チェックするためにアップルのソフトウェア・アップデートをセットし、ソフトウェアを常に最新のものにしておくこと。
ウォッチガード・ユーザ対象:
悪質なJavaバイトコードを入れたウェブページにユーザが行くことに依存する攻撃も中にはあるが、大方のFirebox製品に搭載されているHTTPプロキシのポリシーは、デフォルトでJavaバイトコードを自動的にブロックするようになっている。ディフォルトHTTPプロキシでFireboxを管理している場合、脆弱性を誘発する悪質なコードをユーザがダウンロードすることはできない。
【ステータス】
アップルはこうした問題を修正するOS X 10.4 対象のJava Release 7とOS X 10.5 Update 2対象のJavaをリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査され書かれた記事です。