-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2012-0028 JPCERT/CC 2012-08-31 (初版) 2012-09-03 (更新) <<< JPCERT/CC Alert 2012-08-31 >>> 2012年 8月 Java SE の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120028.html I. 概要 Oracle 社の Java SE JDK 及び JRE には、複数の脆弱性があります。これ らの脆弱性を使用された場合、結果として遠隔の第三者によって任意のコード を実行される可能性があります。脆弱性の詳細については、Oracle 社の情報 を確認してください。 *** 更新: 2012年9月3日修正 ****************************************** Oracle Java SE Development Kit 7 Update 7 Release Notes http://www.oracle.com/technetwork/java/javase/7u7-relnotes-1835816.html 公開された脆弱性のうち、すでに CVE-2012-4681 の脆弱性を使用する実証 コードが公開され、本脆弱性を使用した攻撃機能が一部の Exploit Kit に組 み込まれていることを確認しています。JPCERT/CC にて実証コードを検証した 結果、任意のコードが実行されることを確認しました。 また、本脆弱性を使用した攻撃サイトに関するインシデント報告を受けてい ます。 Oracle Oracle Security Alert for CVE-2012-4681 http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html *** 更新: 2012年9月3日修正 ****************************************** 今後、本脆弱性を対象とした攻撃活動が拡大する可能性が考えられますので、 速やかに Oracle 社が提供する対策済みソフトウエアへアップデートすること をお勧めします。 II. 対象 対象となる製品とバージョンは以下の通りです。 JDK および JRE 7 Update 6 およびそれ以前 JDK および JRE 6 Update 34 およびそれ以前 ※ JDK および JRE 6 は、攻撃に使用されている脆弱性 (CVE-2012-4681) の 影響を受けません。 III. JPCERT/CC による検証結果 JPCERT/CC では、本脆弱性 (CVE-2012-4681/JDK およびJRE 7 を対象) を使 用する実証コードについて検証を行いました。 [検証環境] OS: Windows 7 SP1 (2012年8月のセキュリティ更新プログラム適用済み) ブラウザ: Internet Explorer 9 - JRE 7 Update 6 での検証結果 上記検証環境に JRE 7 Update 6 をインストールした構成にて、実証コー ドを実行した結果、任意のコードが実行されることを確認 また、修正済みソフトウエアの JRE 7 Update 7 では、本脆弱性の影響を受 けないことを確認しています。 IV. 対策 Oracle 社から修正済みソフトウエアが公開されています。修正済みソフト ウエアへアップデートしてください。 - Java SE JDK および JRE 7 Update 7 - Java SE JDK および JRE 6 Update 35 全オペレーティングシステムの Java のダウンロード一覧 http://java.com/ja/download/manual.jsp?locale=ja ※ Java SE 6 は 2013年2月にサポートが終了となることがアナウンスされ ていますので、使用しているアプリケーションの対応状況をふまえた上 で、Java SE 7 への移行をご検討ください。 Java 6 End of Public Updates extended to February 2013 https://blogs.oracle.com/henrik/entry/java_6_eol_h_h Java 6 Auto-Update to Java 7 http://www.oracle.com/technetwork/java/javase/documentation/autoupdate-1667051.html V. 参考情報 Oracle Oracle Security Alert for CVE-2012-4681 http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html Oracle Java SE Development Kit 7 Update 7 Release Notes http://www.oracle.com/technetwork/java/javase/7u7-relnotes-1835816.html Oracle Security Alert for CVE-2012-4681 Released https://blogs.oracle.com/security/entry/security_alert_for_cve_20121 JVNTA12-240A Oracle Java 7 に脆弱性 https://jvn.jp/cert/JVNTA12-240A/index.html US-CERT Vulnerability Note VU#636312 Oracle Java JRE 1.7 allows untrusted code to set arbitrary Security Manager permissions http://www.kb.cert.org/vuls/id/636312 IBM Tokyo SOC Report JRE / JDK バージョン7のゼロデイ脆弱性を悪用する攻撃検知状況 https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/java_0day_20120830?lang=ja 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ________ 改訂履歴 2012-08-31 初版 2012-09-03 「I. 概要」に追記 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEVAwUBUERTSzF9l6Rp7OBIAQjg1wf/RXUSMEBD28hUNe6dDMw8QTm94W1pzeJ8 s+0i54jKspAxvE3D5oH8wECUz8n5X3YaKJCp/9CP/IK0x2SL8tzVDKN2v0p+6Xz/ lss/pXMGRsLuLpS0ihDlQdPU3YLSjzLMCTi6wMB6Qw9boF8AJcZJ9X0+wOusqD+v /+9XAMHiZ+J/zNVrT7HVjDPZIAVoSqrviWVkSMu0w/5OESJZxuYqMIdEse4jTh0x h/pcf//5SE2ekiOp45enCVE6OCF6TAwAd7Fo3/D1z3ngR84dBIm2t+i8nksZXKTu 9OASud26S6lmsHMjZEsTMqdHGKR9y1NGcJLcTnEXIrswDpio037ptA== =/Ipy -----END PGP SIGNATURE-----