Sun Javaが15件以上のセキュリティ問題を修正 2009年3月26日
Sun Javaが15件以上のセキュリティ問題を修正
危険度: 高
2009年3月26日
【概要】
対象:
Windows、Solaris、Linux 対象のSun Java Runtime Environment(JRE)の全バージョンと3月24日以前にリリースされた Java Development Kit (JDK)
攻撃方法:
細工したJavaを取り入れた悪質なウェブページにユーザを誘導するなど、様々な攻撃方法がある
影響:
結果は様々だが最悪の場合、攻撃者はユーザのコンピュータを完全に操作できるようになる
対策:
できる限り早急に状況に適したJRE(またはJDK)のアップデートをインストールすること
【詳細】
サン・マイクロシステムズが開発したプログラミング言語のJavaは、ウェブページに機能を追加するためによく使われており、現在のオペレーティング・システムの大方はウェブサイトやその他アプリケーションからのJavaコードを認識、処理するためにJavaインタプリタを実行している。SunのJava Runtime Environment (JRE)は現在インターネットで人気が高いJavaインタプリタの一つである。
3月26日、Secuniaはセキュリティ・アラートを発表しWindowsやSolaris、Linuxなどのプラットフォームで利用されている、Sun JRE(およびSun Java SDK)全てのリリースバージョンに影響している複数の脆弱性について警告した。各脆弱性は技術的には大きく異なるものの、細工したJavaを取り入れた悪質なウェブページにユーザを誘導するなどして、攻撃者は似たような方法でそれぞれの問題を悪用することができる。最悪の場合、ユーザがそのような悪質なサイトを訪れると攻撃者はJavaの欠陥をいくつか利用し、ユーザのコンピュータで攻撃用コードを実行することができるようになる。また、ユーザにローカル管理者の権限がある場合、攻撃者は欠陥を悪用することでユーザのコンピュータを完全に操作できるようになる可能性もある。また、攻撃者はその他の脆弱性を利用してユーザのコンピュータでサービス拒否攻撃を開始したり、権限昇格を行ったりすることもできる。
SolarisネットワークやLinuxネットワークを実行している場合は、おそらくSun JREを使用しているかどうか分かるだろう(使用している場合がほとんどである)。 しかし、Windowsには過去にマイクロソフト独自のJavaインタプリタであるJava Virtual Machine(MSJVM)が搭載されていたため、Windowsネットワークを管理している場合は、利用度が明確ではない。 過去のバージョンのIEは、このMSJVMを使用してJavaアプレットを解釈するため、IEを使用しているウィンドウズ・ユーザの多くはこの欠陥に対して脆弱ではないが、Sunとの法的な争いによって、マイクロソフトは最新バージョンのWindowsでMSJVMの使用を打ち切ることになった。例えば、MSJVMはWindows Server 2003やSP1やSP2に付いてくるWindows XPバージョンには搭載されていない(自分でSP1やSP2にアップグレードしたXPユーザはMSJVMを利用)。新たにリリースされたWindowsでは、自分でJavaインタプリタをダウンロードしなければならないようになっているため、その場合はおそらくSun JREを使用していることだろう。こうした理由から早急なアップデートが必要である。
Javaを解釈するIEのバージョンが定かでない場合は、次の方法をすすめる:
IEの(ツール)→ (インターネット・オプション)→(アドバンス)タブをクリック。マイクロソフトVMの欄までスクロールダウンし、「Javaコンソール」をチェックし有効にする。IEを再起動させ、(閲覧)→Javaコンソールに行く。そうすると、IEが使用しているJavaインタプリタの名称とバージョン番号を表示するウィンドウズが現れる。Sun JREを使用していない場合は、この問題による影響はない。
【対策】
サン・マイクロシステムズは様々なJREやSDKアップデートをリリースし、この問題を修正している。ネットワークでSun JREを使用している場合は、状況に適したアップデートをできる限り早急にダウンロードし導入すること。
JRE とJDK 6.0: アップデート13のダウンロード先
JRE とJDK 5.0: アップデート18のダウンロード先
Business JRE とSDK 1.4.xのJava SE: バージョン1.4.2_20のダウンロード先
JRE とSDK 1.3.x: バージョン1.3.1_25のダウンロード先
ウォッチガード・ユーザ:
ウォッチガードのFirebox製品の中には、ユーザがウェブサイトからJavaアプレットをダウンロードできないようにする場合もあるが、そうすることでJavaアプレットを使用している正当なウェブサイトの機能も損なうことになる。Javaアプレットを遮断したくない場合は、適切なSun JREアップデートをできる限り早急にダウンロードすることをすすめる。Javaアプレットの使用を阻止することで、全てとまではいかないが、こうした問題によるリスクをいくつか軽減させることはできるが、Sunのアップデートを導入することが主な対策となる。
FireboxのHTTPプロキシを使ってJavaアプレットを遮断する方法については、HTTP Proxy Advanced FAQの「Deny Java Applets」の欄を参照。
【ステータス】
Sunは問題を修正するアップデートをリリースしている。
【参考資料】
SecuniaによるJavaのアドバイザリ
[SunのJavaアドバイザリ]
SunドキュメントID 254569
SunドキュメントID 254570
SunドキュメントID 254571
SunドキュメントID 254608
SunドキュメントID 254609
SunドキュメントID 254610
SunドキュメントID 254611
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度: 高
2009年3月26日
【概要】
対象:
Windows、Solaris、Linux 対象のSun Java Runtime Environment(JRE)の全バージョンと3月24日以前にリリースされた Java Development Kit (JDK)
攻撃方法:
細工したJavaを取り入れた悪質なウェブページにユーザを誘導するなど、様々な攻撃方法がある
影響:
結果は様々だが最悪の場合、攻撃者はユーザのコンピュータを完全に操作できるようになる
対策:
できる限り早急に状況に適したJRE(またはJDK)のアップデートをインストールすること
【詳細】
サン・マイクロシステムズが開発したプログラミング言語のJavaは、ウェブページに機能を追加するためによく使われており、現在のオペレーティング・システムの大方はウェブサイトやその他アプリケーションからのJavaコードを認識、処理するためにJavaインタプリタを実行している。SunのJava Runtime Environment (JRE)は現在インターネットで人気が高いJavaインタプリタの一つである。
3月26日、Secuniaはセキュリティ・アラートを発表しWindowsやSolaris、Linuxなどのプラットフォームで利用されている、Sun JRE(およびSun Java SDK)全てのリリースバージョンに影響している複数の脆弱性について警告した。各脆弱性は技術的には大きく異なるものの、細工したJavaを取り入れた悪質なウェブページにユーザを誘導するなどして、攻撃者は似たような方法でそれぞれの問題を悪用することができる。最悪の場合、ユーザがそのような悪質なサイトを訪れると攻撃者はJavaの欠陥をいくつか利用し、ユーザのコンピュータで攻撃用コードを実行することができるようになる。また、ユーザにローカル管理者の権限がある場合、攻撃者は欠陥を悪用することでユーザのコンピュータを完全に操作できるようになる可能性もある。また、攻撃者はその他の脆弱性を利用してユーザのコンピュータでサービス拒否攻撃を開始したり、権限昇格を行ったりすることもできる。
SolarisネットワークやLinuxネットワークを実行している場合は、おそらくSun JREを使用しているかどうか分かるだろう(使用している場合がほとんどである)。 しかし、Windowsには過去にマイクロソフト独自のJavaインタプリタであるJava Virtual Machine(MSJVM)が搭載されていたため、Windowsネットワークを管理している場合は、利用度が明確ではない。 過去のバージョンのIEは、このMSJVMを使用してJavaアプレットを解釈するため、IEを使用しているウィンドウズ・ユーザの多くはこの欠陥に対して脆弱ではないが、Sunとの法的な争いによって、マイクロソフトは最新バージョンのWindowsでMSJVMの使用を打ち切ることになった。例えば、MSJVMはWindows Server 2003やSP1やSP2に付いてくるWindows XPバージョンには搭載されていない(自分でSP1やSP2にアップグレードしたXPユーザはMSJVMを利用)。新たにリリースされたWindowsでは、自分でJavaインタプリタをダウンロードしなければならないようになっているため、その場合はおそらくSun JREを使用していることだろう。こうした理由から早急なアップデートが必要である。
Javaを解釈するIEのバージョンが定かでない場合は、次の方法をすすめる:
IEの(ツール)→ (インターネット・オプション)→(アドバンス)タブをクリック。マイクロソフトVMの欄までスクロールダウンし、「Javaコンソール」をチェックし有効にする。IEを再起動させ、(閲覧)→Javaコンソールに行く。そうすると、IEが使用しているJavaインタプリタの名称とバージョン番号を表示するウィンドウズが現れる。Sun JREを使用していない場合は、この問題による影響はない。
【対策】
サン・マイクロシステムズは様々なJREやSDKアップデートをリリースし、この問題を修正している。ネットワークでSun JREを使用している場合は、状況に適したアップデートをできる限り早急にダウンロードし導入すること。
JRE とJDK 6.0: アップデート13のダウンロード先
JRE とJDK 5.0: アップデート18のダウンロード先
Business JRE とSDK 1.4.xのJava SE: バージョン1.4.2_20のダウンロード先
JRE とSDK 1.3.x: バージョン1.3.1_25のダウンロード先
ウォッチガード・ユーザ:
ウォッチガードのFirebox製品の中には、ユーザがウェブサイトからJavaアプレットをダウンロードできないようにする場合もあるが、そうすることでJavaアプレットを使用している正当なウェブサイトの機能も損なうことになる。Javaアプレットを遮断したくない場合は、適切なSun JREアップデートをできる限り早急にダウンロードすることをすすめる。Javaアプレットの使用を阻止することで、全てとまではいかないが、こうした問題によるリスクをいくつか軽減させることはできるが、Sunのアップデートを導入することが主な対策となる。
FireboxのHTTPプロキシを使ってJavaアプレットを遮断する方法については、HTTP Proxy Advanced FAQの「Deny Java Applets」の欄を参照。
【ステータス】
Sunは問題を修正するアップデートをリリースしている。
【参考資料】
SecuniaによるJavaのアドバイザリ
[SunのJavaアドバイザリ]
SunドキュメントID 254569
SunドキュメントID 254570
SunドキュメントID 254571
SunドキュメントID 254608
SunドキュメントID 254609
SunドキュメントID 254610
SunドキュメントID 254611
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。