JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > 注意喚起 > 2012 > 2012年6月 Java SE の脆弱性を狙う攻撃に関する注意喚起

最終更新: 2012-06-29

2012年6月 Java SE の脆弱性を狙う攻撃に関する注意喚起


各位

                                                   JPCERT-AT-2012-0021
                                                             JPCERT/CC
                                                            2012-06-29

                  <<< JPCERT/CC Alert 2012-06-29 >>>

         2012年6月 Java SE の脆弱性を狙う攻撃に関する注意喚起

            https://www.jpcert.or.jp/at/2012/at120021.html


I. 概要

  JPCERT/CC では、Oracle 社の Java SE JDK 及び JRE の既知の脆弱性を狙う
攻撃を確認しています。2012年6月13日に公開された Java SE JDK 及び JRE の
最新のバージョンを使用していない場合、遠隔の第三者によって任意のコード
を実行される可能性があります。脆弱性の詳細については、Oracle 社の情報を
確認してください。

    Oracle Java SE Critical Patch Update Advisory - June 2012
    http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html

  JPCERT/CC では、正規サイトが改ざんされ、サイトにアクセスしたユーザを
攻撃サイトに転送し、マルウエアに感染させようとするインシデント報告を受
けています。

  また、本脆弱性を使用した攻撃機能が一部の Exploit Kit に組み込まれてい
ることを確認しています。今後、本脆弱性を対象とした攻撃活動が拡大する可
能性が考えられますので、Oracle 社が提供する対策済みソフトウエアへアップ
デートすることをお勧めします。


II. 対象

  JDK および JRE 7 Update 4 およびそれ以前
  JDK および JRE 6 Update 32 およびそれ以前


III. JPCERT/CC による検証結果

  JPCERT/CC では、攻撃サイトに設置されていた本脆弱性を使用する攻撃コー
ドについて検証を行いました。

    [検証環境]
    OS: Windows XP SP3 適用済
    ブラウザ: IE 8.0.6001.18702

  - JRE 6 Update 32 / JRE 7 Update 4 での検証結果
    上記検証環境に JRE 6 update 32 / JRE 7 Update 4 をインストールした
    構成にて、攻撃コードを実行した結果、外部サイトに接続が行われること
    を確認

  - JRE 6 Update 33 / JRE 7 Update 5 での検証結果
    上記検証環境に JRE 6 update 33 / JRE 7 Update 5 をインストールした
    構成にて、攻撃コードを実行した結果、外部サイトに接続が行われないこ
    とを確認


IV. 対策

  Oracle 社から修正済みソフトウエアが公開されています。修正済みソフトウ
エアへアップデートしてください。

    - Java SE JDK および JRE 7 Update 5 
    - Java SE JDK および JRE 6 Update 33

    全オペレーティングシステムの Java のダウンロード一覧
    http://java.com/ja/download/manual.jsp?locale=ja

  ※ Java SE 6 は 2012年11月にサポートが終了となることがアナウンスされ
     ていますので、使用しているアプリケーションの対応状況をふまえた上
     で、Java SE 7 への移行をご検討ください。

    Oracle Technology Network
    Java SE EOL Policy: Java SE 6 End of Life (EOL) Notice
    http://www.oracle.com/technetwork/java/eol-135779.html#Interfaces

    Oracle
    Moving to Java 7 as default
    https://blogs.oracle.com/henrik/entry/moving_to_java_7_as


V. 参考情報

    Oracle
    Oracle Java SE Critical Patch Update Advisory - June 2012
    http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html

    June 2012 Critical Patch Update for Java SE Released
    https://blogs.oracle.com/security/entry/june_2012_critical_patch_update

    Text Form of Oracle Java SE Critical Patch Update - June 2012 Risk Matrices
    http://www.oracle.com/technetwork/topics/security/javacpujun2012verbose-1515971.html


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600  FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ

CSIRTマテリアル
STOP!!パスワード使い回し!!キャンペーン2016
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english