Sun、JDK/JRE6の脆弱性修正パッチを公開

JRE/JDK Update 2ではJava Web Startの脆弱性など複数の深刻な問題に対処した。

» 2007年07月12日 09時52分 公開
[ITmedia]

 米Sun Microsystemsは、JDK/JRE6の複数の脆弱性を修正したアップデートを公開した。同梱のWebアプリケーション実行ツール「Java Web Start」の脆弱性修正パッチなどが含まれている。

 Java Web Startの脆弱性修正パッチは6月末にもリリースされているが、今回はJRE/JDK 5に加えてJRE/JDK 6のパッチを新たに公開、別の問題に対処しているようだ。

 問題をSunに通報したセキュリティ企業、eEyeのアドバイザリーによると、Java Web StartでJNLPファイルからのダウンロード命令を読み取る「javaws.exe」にスタックバッファオーバーフローの脆弱性が存在し、悪質なJNLPファイルを使ってユーザーのシステムを制御されてしまう恐れがある。

 eEyeはアドバイザリーの中で「Sunはセキュリティパッチの同時リリースがいまだにできない数少ない企業の1つだ」と指摘。Sunは6月28日に、JRE 5向けのパッチとなる「Update 12」をリリースしたが、Java 6向けアップデートの提供までにはその後1週間以上かかり、攻撃コードを開発する時間を与えてしまったと批判している。

 JRE/JDK 5向けの「Update 12」、JRE/JDK 6向けの「Update 2」ともSunのサイトからダウンロードできる。JRE/JDK 6 Update 2では、Java Web Startの脆弱性のほかにも、XMLシグネチャのXSLTスタイルシート処理に関する脆弱性など、深刻度の高いものも含めて複数の脆弱性が修正された。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ