-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                  JPCERT-AT-2010-0010
                                                            JPCERT/CC
                                                           2010-04-16

                  <<< JPCERT/CC Alert 2010-04-16 >>>

          Oracle Sun JDK および JRE の脆弱性に関する注意喚起

              Vulnerabilities in Oracle Sun JDK and JRE

            https://www.jpcert.or.jp/at/2010/at100010.txt


I. 概要

  Oracle 社の JDK および JRE には複数の脆弱性があります。結果として、
遠隔の第三者は細工した Web サイト等をユーザに閲覧させることで、任意の
コードを実行したりする可能性があります。また、本脆弱性を使用したと思
われる攻撃サイトが既に公開されています。早急なパッチ適用をお勧めします。

  Oracle Security Alert CVE-2010-0886
  http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0886.html


II. 対象

  対象となる製品とバージョンは以下の通りです。

  JDK および JRE 6 Update 19  およびそれ以前

※一部メーカー製 PC では、JRE がプリインストールされている場合がありま
す。念のため、利用中の PC に JRE がインストールされているかどうかを確
認してください。


III. JPCERT/CCによる検証結果

  JPCERT/CC では、本脆弱性を使用する攻撃実証コードについて検証を行いま
した。

    [検証環境]
    OS: Windows XP SP3   (2010年4月セキュリティ更新プログラム適用済み)
     ブラウザ: IE:  8.0.6001.18702 または Firefox: 3.6.3

  - JRE 6 Update 19  での検証結果
    上記検証環境に JRE 6 update 19 をインストールした構成にて、実証
    コードを実行した結果、calc.exe が実行されることを確認。
    （ブラウザ上 に Java  のロゴが表示される）

  - JRE 6 Update 20 での検証結果
    上記検証環境に JRE 6 update 20 をインストールした構成にて、実証
    コードを実行した結果、calc.exe が実行されないことを確認。
    （ブラウザ上 に Java  のロゴが表示されない）


IV. 対策

  Oracle 社より提供されている修正済みソフトウエア(update 20)を適用して
ください。 

  Java SE Downloads
  http://java.sun.com/javase/downloads/index.jsp

64bit 版 Windows を使用している場合、32bit 版 JRE、64bit 版 JDK/JRE の
いずれか、または両方がインストールされている場合がありますので、利用し
ている JDK/JRE をご確認の上、修正済ソフトウエアを適用して下さい。


V. 参考情報

  Oracle
  Security Alert for CVE-2010-0886 and  CVE-2010-0887 Released
  http://blogs.oracle.com/security/2010/04/security_alert_for_cve-2010-08.html

  JVNVU#886582
  Oracle Sun Java  Deployment Toolkit に引数の検証処理に問題
  https://jvn.jp/cert/JVNVU886582/index.html

  ISS Tokyo SOC Report
  Java Deployment Toolkit の脆弱性を悪用したゼロディ攻撃を観測
  https://www-950.ibm.com/blogs/tokyo-soc/entry/javaws-201004?lang=ja


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600  FAX: 03-3518-4602
https://www.jpcert.or.jp/
-----BEGIN PGP SIGNATURE-----

iQEVAwUBS8fMczF9l6Rp7OBIAQg4iggApmW5aWgPsNYGCHfZ9KXhnHuiE9BoKaDn
1JKpdyD8CfGt5aZsqyhwWyvmFtASS/IqPaUnzKvCez+/jm+vAIyTXTag7SNIe/c1
k2XnYMix2AYGMmCA6FIuiRmzV7ePGB/ZDENO+8I71/F9rJqnQxp6Sa6mPOvQcyPT
FDRcYMQPg5V73bsNtA8LW8nFyHN5rOJFkeR/eMYfUe/0rQPHBT2K6eBzeZ3U1Fca
oxEr/t0xzFmwxEgloyHV3faZY/TsjNM9dnUZ0MQ9jmr4CFL5XiI5nn82DtOXs4/O
hHNPWrv4FymQTW8cCdZxvFtG2x4ehfDHqTfDW88mfRKu2Rb/GxC7ng==
=FnPD
-----END PGP SIGNATURE-----