Windows、Solaris、LinuxのSun Javaに20件以上のセキュリティ・ホール 2008年12月4日
Windows、Solaris、LinuxのSun Javaに20件以上のセキュリティ・ホール
危険度:高
2008年12月4日
【概要】
対象:
12月3日以前にリリースされたWindows、Solaris、Linux プラットフォーム用のSun Javaランタイム・エンバイロメント (JRE) /Java Development Kit (JDK)
攻撃方法:
細工したJavaを含む悪質なウェブページにユーザを誘導するなど、様々な攻撃方法がある
影響:
結果は様々だが最悪の場合、攻撃者はユーザのコンピュータを完全に操作できるようになる
対策:
できる限り早急に状況に適したJRE(またはJDK)のアップデートをインストールすること
【詳細】
プログラミング言語のJavaは、ウェブページに巧妙な機能を追加するため頻繁に使われており、今日見られるオペレーティング・システムの大方はウェブサイトやその他からのJavaコードを認識、処理するためにJavaインタプリタを実行している。SunのJavaランタイム・エンバイロメント (JRE)は、現在インターネットで一番人気が高いJavaインタプリタのひとつである。
ところが12月4日、Secuniaはセキュリティ・アラートを発表しWindowsやSolaris、Linuxなどのプラットフォームで使用されている、これまでにリリースされたSun JRE(およびSun Java SDK)全てのバージョンに影響している複数の脆弱性について警告した。各脆弱性は技術的には大きく異なるものの、攻撃者は似たような方法でそれぞれの問題を悪用することができる。細工したJavaを含む悪質なウェブページにユーザを誘導すると、最悪な場合、攻撃者は様々なバッファ・オーバーフローを利用してユーザのコンピュータで攻撃用コードを実行できるようになる。また、ユーザにローカル管理者の権限がある場合、攻撃者はこうした欠陥を一つ、または複数悪用することでユーザのコンピュータを完全に操作できるようになる可能性がある。その他の脆弱性を悪用し、攻撃者がサービス拒否攻撃を開始、権限昇格を行う、ユーザのコンピュータから機密情報を盗む、などが可能である。
SolarisネットワークやLinuxネットワークを実行している場合は、おそらくSun JREを使用しているかどうか分かることだろう(大方の場合は使用している)。しかし、Windowsには過去にマイクロソフト独自のJavaインタプリタであるJava仮想マシン(MSJVM)が搭載されていたため、Windowsネットワークを管理している場合は、それほど明確ではない。過去のバージョンのIEは、このMSJVMを使用してJavaアプレットを解釈するため、IEを使用している大方のウィンドウズ・ユーザはこの欠陥に対して脆弱ではない。Sunとの法的な争いから、マイクロソフトは最新バージョンのWindowsでMSJVMの使用を打ち切ることになった。例えば、MSJVMはWindows Server 2003やSP1やSP2に付いてくるWindows XPバージョンには搭載されていない(自分でSP1やSP2にアップグレードしたXPユーザはMSJVMを使用)。新たにリリースされたWindowsでは、自分でJavaインタプリタをダウンロードしなければならないようになっているため、その場合はおそらくSun JREを使用していることだろう。こうした理由から早急にアップデートすることが必要となる。
Javaを解釈するIEバージョンが確かでない場合は、次の方法を参照することをすすめる:
IEの(ツール)⇒(インターネット・オプション)⇒(アドバンス)タブをクリックする。マイクロソフトVMの欄までスクロールダウンし、「Javaコンソール」をチェックし有効にする。IEを再起動させ、(閲覧)⇒Javaコンソールに行く。そうすると、IEが使用しているJavaインタプリタの名称とバージョン番号を表示するウィンドウズが現れる。Sun JREを使用していない場合は、この問題の影響はない。
【対策】
Sunは様々なJREやSDKアップデートをリリースし、この問題を修正している。ネットワークでSun JREを使用している場合は、状況に適したアップデートをできる限り早急にダウンロードし導入すること。
ウォッチガードのFirebox製品の中には、ユーザがウェブサイトからJavaアプレットをダウンロードできないようにするものもあるが、そうすることで、Javaアプレットを使用している正当なウェブサイトの機能も損なうことになる。Javaアプレットを遮断したくない場合は、適切なSun JREアップデートをできる限り早急にダウンロードすること。Javaアプレットの使用を阻止することでこうした問題によるリスクを軽減させることができるが、それは全てに対してではないことに注意しよう。こうした理由から、Sunのアップデートが主な対策となる。
FireboxのHTTPプロキシを使ってJavaアプレットを遮断する方法については、HTTP Proxy Advanced FAQの「Deny Java Applets」の欄を参照。
【ステータス】
Sunは問題を修正するアップデートをリリースしている。
【参考資料】
(英文)
SecuniaによるJavaのアドバイザリ
SunのJavaアドバイザリ:
この記事はコーリー・ナクライナー(Corey Nachreiner)によって調査されかかれた記事です。
危険度:高
2008年12月4日
【概要】
対象:
12月3日以前にリリースされたWindows、Solaris、Linux プラットフォーム用のSun Javaランタイム・エンバイロメント (JRE) /Java Development Kit (JDK)
攻撃方法:
細工したJavaを含む悪質なウェブページにユーザを誘導するなど、様々な攻撃方法がある
影響:
結果は様々だが最悪の場合、攻撃者はユーザのコンピュータを完全に操作できるようになる
対策:
できる限り早急に状況に適したJRE(またはJDK)のアップデートをインストールすること
【詳細】
プログラミング言語のJavaは、ウェブページに巧妙な機能を追加するため頻繁に使われており、今日見られるオペレーティング・システムの大方はウェブサイトやその他からのJavaコードを認識、処理するためにJavaインタプリタを実行している。SunのJavaランタイム・エンバイロメント (JRE)は、現在インターネットで一番人気が高いJavaインタプリタのひとつである。
ところが12月4日、Secuniaはセキュリティ・アラートを発表しWindowsやSolaris、Linuxなどのプラットフォームで使用されている、これまでにリリースされたSun JRE(およびSun Java SDK)全てのバージョンに影響している複数の脆弱性について警告した。各脆弱性は技術的には大きく異なるものの、攻撃者は似たような方法でそれぞれの問題を悪用することができる。細工したJavaを含む悪質なウェブページにユーザを誘導すると、最悪な場合、攻撃者は様々なバッファ・オーバーフローを利用してユーザのコンピュータで攻撃用コードを実行できるようになる。また、ユーザにローカル管理者の権限がある場合、攻撃者はこうした欠陥を一つ、または複数悪用することでユーザのコンピュータを完全に操作できるようになる可能性がある。その他の脆弱性を悪用し、攻撃者がサービス拒否攻撃を開始、権限昇格を行う、ユーザのコンピュータから機密情報を盗む、などが可能である。
SolarisネットワークやLinuxネットワークを実行している場合は、おそらくSun JREを使用しているかどうか分かることだろう(大方の場合は使用している)。しかし、Windowsには過去にマイクロソフト独自のJavaインタプリタであるJava仮想マシン(MSJVM)が搭載されていたため、Windowsネットワークを管理している場合は、それほど明確ではない。過去のバージョンのIEは、このMSJVMを使用してJavaアプレットを解釈するため、IEを使用している大方のウィンドウズ・ユーザはこの欠陥に対して脆弱ではない。Sunとの法的な争いから、マイクロソフトは最新バージョンのWindowsでMSJVMの使用を打ち切ることになった。例えば、MSJVMはWindows Server 2003やSP1やSP2に付いてくるWindows XPバージョンには搭載されていない(自分でSP1やSP2にアップグレードしたXPユーザはMSJVMを使用)。新たにリリースされたWindowsでは、自分でJavaインタプリタをダウンロードしなければならないようになっているため、その場合はおそらくSun JREを使用していることだろう。こうした理由から早急にアップデートすることが必要となる。
Javaを解釈するIEバージョンが確かでない場合は、次の方法を参照することをすすめる:
IEの(ツール)⇒(インターネット・オプション)⇒(アドバンス)タブをクリックする。マイクロソフトVMの欄までスクロールダウンし、「Javaコンソール」をチェックし有効にする。IEを再起動させ、(閲覧)⇒Javaコンソールに行く。そうすると、IEが使用しているJavaインタプリタの名称とバージョン番号を表示するウィンドウズが現れる。Sun JREを使用していない場合は、この問題の影響はない。
【対策】
Sunは様々なJREやSDKアップデートをリリースし、この問題を修正している。ネットワークでSun JREを使用している場合は、状況に適したアップデートをできる限り早急にダウンロードし導入すること。
- JRE / JDK 6.0: アップデート11のダウンロード先(日本語版)
- JRE / JDK 5.0: アップデート17のダウンロード先
- JRE / SDK 1.4.x: バージョン1.4.2_19のダウンロード先
- JRE / SDK 1.3.x: バージョン1.3.1_24のダウンロード先(日本語版)
ウォッチガードのFirebox製品の中には、ユーザがウェブサイトからJavaアプレットをダウンロードできないようにするものもあるが、そうすることで、Javaアプレットを使用している正当なウェブサイトの機能も損なうことになる。Javaアプレットを遮断したくない場合は、適切なSun JREアップデートをできる限り早急にダウンロードすること。Javaアプレットの使用を阻止することでこうした問題によるリスクを軽減させることができるが、それは全てに対してではないことに注意しよう。こうした理由から、Sunのアップデートが主な対策となる。
FireboxのHTTPプロキシを使ってJavaアプレットを遮断する方法については、HTTP Proxy Advanced FAQの「Deny Java Applets」の欄を参照。
【ステータス】
Sunは問題を修正するアップデートをリリースしている。
【参考資料】
(英文)
SecuniaによるJavaのアドバイザリ
SunのJavaアドバイザリ:
- SunドキュメントID 244986
- SunドキュメントID 244987
- SunドキュメントID 244988
- SunドキュメントID 244989
- SunドキュメントID 244990
- SunドキュメントID 244991
- SunドキュメントID 244992
- SunドキュメントID 245246
- SunドキュメントID 246266
- SunドキュメントID 246286
- SunドキュメントID 246346
- SunドキュメントID 246366
- SunドキュメントID 246386
- SunドキュメントID 246387
この記事はコーリー・ナクライナー(Corey Nachreiner)によって調査されかかれた記事です。