ニュース

Sun、Java JREの脆弱性に対処

Java Runtime Environmentに存在する複数の脆弱性が修正され、JDKがIEで「Not verified」扱いになってしまう問題も解消された。

　Sun MicrosystemsはJava Runtime Environment（JRE）のアップデートをリリースし、複数の脆弱性を修正した。同社やセキュリティ各社のアドバイザリーによれば、これら脆弱性を突かれるとシステムを制御されてしまう恐れがある。

　Secuniaのアドバイザリーによると、JREに存在する2件の脆弱性は、悪用されると不正アプレットを使ってローカルファイルの読み取り／書き込みやローカルアプリケーションの実行ができてしまう。

　また、JREのシリアル化に関する2件の脆弱性では、不正アプレットを使って権限を昇格される恐れがある。

　影響を受けるのはJDK／JRE 5.0 Update 7以前、SDK／JRE 1.4.2_12以前、SDK／JRE 1.3.1_18以前の各バージョン。Secuniaの危険度評価は5段階で上から2番目の「Highly critical」となっている。

　SANS Internet Storm Centerでは今回修正された問題のうち、Internet Explorer（IE）のJavaプラグインに関するJDKのバグに着目。以前のバージョンのJDKは適切な署名がなかったため、IEで「Not verified」扱いになってしまっていたが、「Sunがやっとこの問題を修正した」ことから、IEで「Not verified」の警告メッセージが表示されなくなったとSANSのサイトでは解説している。

[ITmedia]

Copyright© 2010 ITmedia, Inc. All Rights Reserved.