SunがJREなどの脆弱性を公表、セキュリティ制限回避の恐れも

Sun Microsystemsは6月13日付けで、Java関連テクノロジに2種類の脆弱性が存在することを明らかにし、アップデートを呼びかけた。

[ITmedia]

　Sun Microsystemsは6月13日付けで、JRE（Java Runtime Environment）に信頼できないアプレットの権限昇格を許すおそれのある脆弱性が存在することを明らかにし、アップデートを呼びかけた。

　この脆弱性が影響するのはJava 2 Platform Standard Edition（J2SE） 5.0／同Update 1とJ2SE 1.4.2_07以前。Windows、Solaris、Linux、いずれのプラットフォームでも影響を受ける。

　細工を施されたアプレットを通じて脆弱性を悪用されると、セキュリティ制限を回避してローカルファイルの読み書きを許したり、、ローカルアプリケーションを実行される恐れがある。Sunでは問題を修正したJ2SE 5.0 Update 2／J2SE 1.4.2_08以降にアップデートするよう呼びかけている。

　これと同時に、Java Web Startテクノロジに存在するセキュリティ制限回避の脆弱性も公開されている。この脆弱性はJ2SE 5.0／同Update 1に存在するもので、細工を施したJNLP（Java Web Start実行形式）ファイルによって悪用されると、サンドボックスのセキュリティ制限をかいくぐってファイルの読み書きを行ったり、ローカルアプリケーションを実行されたりする恐れがある。

　脆弱性を修正するには、もう1つの脆弱性と同様、問題を修正したJ2SE 5.0 Update 2／J2SE 1.4.2_08以降にアップデートする。また、Internet Explorerなどブラウザの設定を修正し、ブラウザ上からJava Web Startアプリケーションを起動できないよう変更することでも問題を回避できるという。

　FrSIRTやSecuniaではこれらの脆弱性の深刻度を「高」と評価している。早期のアップグレードが望ましい。