速報
» 2005年01月21日 14時57分 公開

Javaプラグインに再び脆弱性

Sun Microsystemsは1月19日付けで、Javaプラグインに2種類の脆弱性が存在することを明らかにし、修正版へのアップデートを呼びかけている。

[ITmedia]

 Sun Microsystemsは1月19日付けで、Javaプラグインに2種類の脆弱性が存在することを明らかにした。悪用されれば、セキュリティ制限を乗り越えてローカルシステム上のアプリケーションを実行される恐れもある。

 Javaプラグインは、Webブラウザ上でJavaを実行するために提供されている技術。Internet ExplorerやNetscapeといったWebブラウザもJava VMを実装しているが、それとは別にプラグインとして提供されており、開発環境のSDK、もしくは実行環境のJDE(Java Runtime Environment)をインストールすると、同時に導入される。Firefox上でJavaを利用する際にも、Javaプラグインの導入が必要だ。

 今回指摘された脆弱性は2種類あり、いずれも富士通が指摘したものだ。セキュリティ企業のSecuniaでは問題の深刻さを、5段階評価のうち4つめの「非常に危険」と評価している。

 1つは、JavaScript呼び出し時の処理に問題があり、セキュリティ権限が昇格してしまう問題だ。悪意あるWebサイトに置かれた信頼できないアプレットから、ローカルファイルの読み込みや上書き、アプリケーションの実行などを許してしまう可能性がある。ただ、この問題が生じるのはIEおよびWindows版のSDK/JRE 1.4.2以前、1.3.1_12以前を利用している場合のみ。

 もう1つの脆弱性は、信頼できないアプレットが、同一のWebページ上にある別のアプレットの動作を妨げることができるという問題だ。SunやSecuniaの情報によれば、この脆弱性を悪用すれば、ファイルやWebページなどコード以外のリソースを呼び出される恐れがあるという。つまり、Webサイトの偽装などに悪用される可能性がある。この脆弱性はWindows版のみならずSolaris版、Linux版のSDK/JRE 1.4.2_05以前、1.3.1_12以前に存在する。

 Sunでは問題を修正したSDK/JRE 1.4.2_06および1.3.1_13を公開しており、これらのバージョンにアップグレードすることで問題を回避できる。またJDK/JRE 5.0には、これらの脆弱性は存在しない。アップグレードが困難な場合には、一時的な措置としてJavaScriptを無効にする回避策が挙げられている。

 なおJavaプラグインに関しては、2004年11月にも同様の脆弱性が発見されていた(関連記事)

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ