Sun Microsystemsは、Javaプラグインにユーザーのシステムに不正なアクセスを許す脆弱性が存在すると発表した。セキュリティ企業のSecuniaではこの脆弱性を「非常に重大」としている。
この脆弱性は、JavaScriptのコードがオブジェクトを信頼できないプライベートかつ制限つきクラスに作成・転送し、Java VMによって使用させることを許可してしまうという設計ミスにより引き起こされる。
これにより、不正なWebサイトがJavaセキュリティマネジャーをオフにし、信頼できないアプレットを制限するsandbox機能を使用不能にするなどの悪用が可能となる。
Sunによれば、 SDKおよびJRE 1.4.2_05以前、1.4.1、1.4.0リリース、1.3.1_12以前の、Solaris、Windows、Linux版に脆弱性が存在するという。JDKおよびJRE 5.0は問題ないとSunは報告している。
対策は、 SDKおよびJRE 1.4.2_06以降、SDKおよびJRE 1.3.1_13以降にアップデートすること。(→詳細記事)
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR