JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > 注意喚起 > 2011 > Java SE を対象とした既知の脆弱性を狙う攻撃に関する注意喚起

最終更新: 2011-12-05

Java SE を対象とした既知の脆弱性を狙う攻撃に関する注意喚起


各位

                                                   JPCERT-AT-2011-0032
                                                             JPCERT/CC
                                                            2011-12-05

                  <<< JPCERT/CC Alert 2011-12-05 >>>

      Java SE を対象とした既知の脆弱性を狙う攻撃に関する注意喚起

            https://www.jpcert.or.jp/at/2011/at110032.txt


I. 概要

  JPCERT/CC では、Oracle 社の Java SE JDK 及び JRE の既知の脆弱性を狙う
攻撃を確認しています。2011年10月11日に公開された Java SE JDK 及び JRE
6 Update 29 より前のバージョンを使用している場合、遠隔の第三者によって
任意のコードを実行される可能性があります。脆弱性の詳細については、
Oracle 社の情報を確認してください。

    Oracle Java SE Critical Patch Update Advisory - October 2011
    http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html

  JPCERT/CC では、本脆弱性を使用した攻撃サイトを確認しており、現時点で
2つの攻撃手法を確認しています。

  1. 正規サイトが改ざんされ、サイトにアクセスしたユーザを攻撃サイトに
     転送し、マルウエアに感染させようとするケース
  2. スパムメールの本文内に記載されたリンクをユーザにアクセスさせ、攻
     撃サイトに誘導し、マルウエアに感染させようとするケース

  既に、脆弱性診断ツールの一部や、いわゆるガンブラーで用いられた
Exploit Kit の一部にも組み込まれていることを確認しています。本脆弱性を
対象とした攻撃活動が拡大する可能性が考えられますので、Oracle 社が提供
する対策済みソフトウエアへアップデートの実施をお勧めします。


II. 対象

  Java SE JDK および JRE 6 Update 27 以前

  JDK/JRE の製品サポート期間について:
  JDK/JRE 5.0 系列の製品は 2009年10月30日にサポート期間が満了したことに
  より、無償アップデートは終了しています。アプリケーションのバージョン
  アップや有償サポートへの加入をご検討下さい。

    Java SE 6 End of Life (EOL) Notice (英語)
    http://www.oracle.com/technetwork/java/eol-135779.html

  ※ 一部メーカー製 PC では、JRE がプリインストールされている場合があり
     ます。念のため、利用中の PC に JRE がインストールされているかどう
     かを確認してください。


III. 対策

  Oracle 社から修正済みソフトウエアが公開されています。修正済みソフトウ
エアへアップデートしてください。

    - Java SE 6 Update 29

    全オペレーティングシステムの Java のダウンロード一覧
    http://java.com/ja/download/manual.jsp?locale=ja


IV. 参考情報

    Oracle
    Oracle Java SE Critical Patch Update Advisory - October 2011
    http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html

    October 2011 Critical Patch Updates Released
    http://blogs.oracle.com/security/entry/october_2011_critical_patch_updates

    NTTデータ先端技術株式会社
    Oracle Java SE JDKおよびJREのRhinoスクリプトエンジンの脆弱性(CVE-2011-3544)に関する検証レポート
    http://security.intellilink.co.jp/article/vulner/111202.html

    So-net セキュリティ通信
    修正されたばかりのJREの脆弱性を突く実証コード公開
    http://security-t.blog.so-net.ne.jp/2011-12-01


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600  FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english