脆弱性を悪用されると、信頼できないアプリケーションに任意のファイルを上書きされてしまう恐れがある。
WebからJavaアプリケーションをダウンロードして実行するためのソフト「Java Web Start」に脆弱性が見つかり、Sun Microsystemsが修正パッチをリリースした。
Java Web Startは、Java Runtime Environment(JRE)と一緒にインストールされるコンポーネント。仏FrSIRTやSecuniaのアドバイザリーによると、脆弱性が原因で、信頼できないアプリケーションに、任意のファイルを上書きできる権限を取得されてしまう恐れがある。これにより、ユーザーの「.java.policy」ファイルを上書きすることも可能になり、信頼できないアプリケーションがアプレットやJava Web Startアプリケーションを起動することが可能になる。
攻撃者にこの問題を悪用されると、セキュリティチェックをかわされる恐れがある。FrSIRTでは、コマンドを実行されシステムを完全に制御される可能性も指摘している。
深刻度はFrSIRTが4段階で最も高い「Critical」、Secuniaは5段階で上から2番目に高い「Highly critical」となっている。
影響を受けるのは、Sun JDK 5.0 Update 11、Sun JRE 5.0 Update 11、Sun JRE 1.4.2_13、Sun SDK 1.4.2_13の各バージョンおよびそれ以前のバージョン。
問題を修正したJ2SE 5.0と1.4.2のアップデートは、Sunのサイトからダウンロードできる。Sunのアドバイザリーでは回避策として、Internet Explorer(IE)とMozillaブラウザでJava Web Startアプリケーションがブラウザから起動しないようにする設定方法も紹介している。
Copyright © ITmedia, Inc. All Rights Reserved.