JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > 注意喚起 > 2012 > 2012年 8月 Java SE の脆弱性に関する注意喚起

最終更新: 2012-09-03

2012年 8月 Java SE の脆弱性に関する注意喚起


各位

                                                   JPCERT-AT-2012-0028
                                                             JPCERT/CC
                                                     2012-08-31 (初版)
                                                     2012-09-03 (更新)

                  <<< JPCERT/CC Alert 2012-08-31 >>>

             2012年 8月 Java SE の脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2012/at120028.html


I. 概要

  Oracle 社の Java SE JDK 及び JRE には、複数の脆弱性があります。これ
らの脆弱性を使用された場合、結果として遠隔の第三者によって任意のコード
を実行される可能性があります。脆弱性の詳細については、Oracle 社の情報
を確認してください。

*** 更新: 2012年9月3日修正 ******************************************
    Oracle
    Java SE Development Kit 7 Update 7 Release Notes
    http://www.oracle.com/technetwork/java/javase/7u7-relnotes-1835816.html

  公開された脆弱性のうち、すでに CVE-2012-4681 の脆弱性を使用する実証
コードが公開され、本脆弱性を使用した攻撃機能が一部の Exploit Kit に組
み込まれていることを確認しています。JPCERT/CC にて実証コードを検証した
結果、任意のコードが実行されることを確認しました。

  また、本脆弱性を使用した攻撃サイトに関するインシデント報告を受けてい
ます。

    Oracle
    Oracle Security Alert for CVE-2012-4681
    http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html
*** 更新: 2012年9月3日修正 ******************************************

  今後、本脆弱性を対象とした攻撃活動が拡大する可能性が考えられますので、
速やかに Oracle 社が提供する対策済みソフトウエアへアップデートすること
をお勧めします。


II. 対象

  対象となる製品とバージョンは以下の通りです。

  JDK および JRE 7 Update 6 およびそれ以前
  JDK および JRE 6 Update 34 およびそれ以前

  ※ JDK および JRE 6 は、攻撃に使用されている脆弱性 (CVE-2012-4681) の
     影響を受けません。


III. JPCERT/CC による検証結果

  JPCERT/CC では、本脆弱性 (CVE-2012-4681/JDK およびJRE 7 を対象) を使
用する実証コードについて検証を行いました。

    [検証環境]
    OS: Windows 7 SP1 (2012年8月のセキュリティ更新プログラム適用済み)
    ブラウザ: Internet Explorer 9

  - JRE 7 Update 6 での検証結果
    上記検証環境に JRE 7 Update 6 をインストールした構成にて、実証コー
    ドを実行した結果、任意のコードが実行されることを確認

  また、修正済みソフトウエアの JRE 7 Update 7 では、本脆弱性の影響を受
けないことを確認しています。


IV. 対策

  Oracle 社から修正済みソフトウエアが公開されています。修正済みソフト
ウエアへアップデートしてください。

    - Java SE JDK および JRE 7 Update 7
    - Java SE JDK および JRE 6 Update 35

    全オペレーティングシステムの Java のダウンロード一覧
    http://java.com/ja/download/manual.jsp?locale=ja

  ※ Java SE 6 は 2013年2月にサポートが終了となることがアナウンスされ
     ていますので、使用しているアプリケーションの対応状況をふまえた上
     で、Java SE 7 への移行をご検討ください。

    Java 6 End of Public Updates extended to February 2013
    https://blogs.oracle.com/henrik/entry/java_6_eol_h_h

    Java 6 Auto-Update to Java 7
    http://www.oracle.com/technetwork/java/javase/documentation/autoupdate-1667051.html


V. 参考情報

    Oracle
    Oracle Security Alert for CVE-2012-4681
    http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html

    Oracle
    Java SE Development Kit 7 Update 7 Release Notes
    http://www.oracle.com/technetwork/java/javase/7u7-relnotes-1835816.html

    Oracle
    Security Alert for CVE-2012-4681 Released
    https://blogs.oracle.com/security/entry/security_alert_for_cve_20121

    JVNTA12-240A
    Oracle Java 7 に脆弱性
    https://jvn.jp/cert/JVNTA12-240A/index.html

    US-CERT Vulnerability Note VU#636312
    Oracle Java JRE 1.7 allows untrusted code to set arbitrary Security Manager permissions
    http://www.kb.cert.org/vuls/id/636312

    IBM Tokyo SOC Report
    JRE / JDK バージョン7のゼロデイ脆弱性を悪用する攻撃検知状況
    https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/java_0day_20120830?lang=ja


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

________
改訂履歴
2012-08-31 初版
2012-09-03 「I. 概要」に追記

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600  FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english