Java Web Start の脆弱性に関する注意喚起
最終更新: 2007-05-09
各位
JPCERT-AT-2007-0011
JPCERT/CC
2007-05-08(初版)
2007-05-09(更新)
<<< JPCERT/CC Alert 2007-05-08 >>>
Java Web Start の脆弱性に関する注意喚起
Vulnerability in Java Web Start
http://www.jpcert.or.jp/at/2007/at070011.txt
I. 概要
Sun Microsystems が提供する Java Web Start には、権限昇格の脆弱性が
あります。結果として、遠隔の第三者が細工された Java Web Start アプリケー
ションを利用して、本来許可されていないシステムクラスを実行する可能性が
あります。
Java Web Start は、Web を通じて Java アプリケーションを配布するため
のツールであり、JRE (Java Runtime Environment) 等の Java 実行環境に同
梱されています。
II. 対象
対象となる製品とバージョンは以下の通りです。
- SDK 1.4.2 Update 13 およびそれ以前
- JDK 5 Update 10 およびそれ以前
- JRE 1.4.2 Update 13 およびそれ以前
- JRE 5 Update 10 およびそれ以前
ご使用の製品のバージョンは以下のコマンドを実行することで確認すること
ができます。Windows ではコマンドプロンプトから実行して下さい。
% java -fullversion
詳しくはベンダの提供する情報をご確認下さい。
III. 対策
この問題を解決するためには、Sun Microsystems が提供する対策済みのソ
フトウェアに更新してください。詳細に関しては、下記の情報を参照してくだ
さい。
Sun Alert #102881
Security Vulnerability With Java Web Start Related to Incorrect Use of System Classes
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102881-1
Windows で JRE をお使いの場合、Java Update を利用することで容易にバー
ジョンアップ可能です。
Java.com
Java Update とは何ですか。
http://www.java.com/ja/download/help/5000020700.xml
IV. 参考情報
Japan Vulnerability Notes JVN#44724673
Java Web Start において許可されていないシステムクラスが実行される脆弱性
http://jvn.jp/jp/JVN%2344724673/index.html
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#44724673「Java Web Start」において許可されていないシステムクラスが実行される脆弱性
http://www.ipa.go.jp/security/vuln/documents/2007/JVN_44724673.html
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
__________
改訂履歴
2007-05-08 初版
2007-05-09 参考情報の URL のタイトルを修正
======================================================================
JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
Topへ