各位
2012年 8月 Java SE の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120028.html
I. 概要
Oracle 社の Java SE JDK 及び JRE には、複数の脆弱性があります。これらの脆弱性を使用された場合、結果として遠隔の第三者によって任意のコードを実行される可能性があります。脆弱性の詳細については、Oracle 社の情報を確認してください。
*** 更新: 2012年9月3日修正 ****************
Oracle
Java SE Development Kit 7 Update 7 Release Notes
http://www.oracle.com/technetwork/java/javase/7u7-relnotes-1835816.html
公開された脆弱性のうち、すでに CVE-2012-4681 の脆弱性を使用する実証コードが公開され、本脆弱性を使用した攻撃機能が一部の Exploit Kit に組み込まれていることを確認しています。JPCERT/CC にて実証コードを検証した結果、任意のコードが実行されることを確認しました。
また、本脆弱性を使用した攻撃サイトに関するインシデント報告を受けています。
Oracle
Oracle Security Alert for CVE-2012-4681
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html
*** 更新: 2012年9月3日修正 ****************
今後、本脆弱性を対象とした攻撃活動が拡大する可能性が考えられますので、速やかに Oracle 社が提供する対策済みソフトウエアへアップデートすることをお勧めします。
II. 対象
対象となる製品とバージョンは以下の通りです。
JDK および JRE 7 Update 6 およびそれ以前
JDK および JRE 6 Update 34 およびそれ以前
※ JDK および JRE 6 は、攻撃に使用されている脆弱性 (CVE-2012-4681) の
影響を受けません。
III. JPCERT/CC による検証結果
JPCERT/CC では、本脆弱性 (CVE-2012-4681/JDK およびJRE 7 を対象) を使用する実証コードについて検証を行いました。
[検証環境]
OS: Windows 7 SP1 (2012年8月のセキュリティ更新プログラム適用済み)
ブラウザ: Internet Explorer 9
- JRE 7 Update 6 での検証結果
上記検証環境に JRE 7 Update 6 をインストールした構成にて、実証コー
ドを実行した結果、任意のコードが実行されることを確認
また、修正済みソフトウエアの JRE 7 Update 7 では、本脆弱性の影響を受けないことを確認しています。
IV. 対策
Oracle 社から修正済みソフトウエアが公開されています。修正済みソフトウエアへアップデートしてください。
- Java SE JDK および JRE 7 Update 7
- Java SE JDK および JRE 6 Update 35
全オペレーティングシステムの Java のダウンロード一覧
http://java.com/ja/download/manual.jsp?locale=ja
※ Java SE 6 は 2013年2月にサポートが終了となることがアナウンスされ
ていますので、使用しているアプリケーションの対応状況をふまえた上
で、Java SE 7 への移行をご検討ください。
Java 6 End of Public Updates extended to February 2013
https://blogs.oracle.com/henrik/entry/java_6_eol_h_h
Java 6 Auto-Update to Java 7
http://www.oracle.com/technetwork/java/javase/documentation/autoupdate-1667051.html
V. 参考情報
Oracle
Oracle Security Alert for CVE-2012-4681
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html
Oracle
Java SE Development Kit 7 Update 7 Release Notes
http://www.oracle.com/technetwork/java/javase/7u7-relnotes-1835816.html
Oracle
Security Alert for CVE-2012-4681 Released
https://blogs.oracle.com/security/entry/security_alert_for_cve_20121
JVNTA12-240A
Oracle Java 7 に脆弱性
https://jvn.jp/cert/JVNTA12-240A/index.html
US-CERT Vulnerability Note VU#636312
Oracle Java JRE 1.7 allows untrusted code to set arbitrary Security Manager permissions
http://www.kb.cert.org/vuls/id/636312
IBM Tokyo SOC Report
JRE / JDK バージョン7のゼロデイ脆弱性を悪用する攻撃検知状況
https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/java_0day_20120830?lang=ja
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
________
改訂履歴
2012-08-31 初版
2012-09-03 「I. 概要」に追記
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2012-0028
JPCERT/CC
2012-08-31 (初版)
2012-09-03 (更新)
JPCERT/CC Alert 2012-08-31
2012年 8月 Java SE の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120028.html
I. 概要
Oracle 社の Java SE JDK 及び JRE には、複数の脆弱性があります。これらの脆弱性を使用された場合、結果として遠隔の第三者によって任意のコードを実行される可能性があります。脆弱性の詳細については、Oracle 社の情報を確認してください。
*** 更新: 2012年9月3日修正 ****************
Oracle
Java SE Development Kit 7 Update 7 Release Notes
http://www.oracle.com/technetwork/java/javase/7u7-relnotes-1835816.html
公開された脆弱性のうち、すでに CVE-2012-4681 の脆弱性を使用する実証コードが公開され、本脆弱性を使用した攻撃機能が一部の Exploit Kit に組み込まれていることを確認しています。JPCERT/CC にて実証コードを検証した結果、任意のコードが実行されることを確認しました。
また、本脆弱性を使用した攻撃サイトに関するインシデント報告を受けています。
Oracle
Oracle Security Alert for CVE-2012-4681
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html
*** 更新: 2012年9月3日修正 ****************
今後、本脆弱性を対象とした攻撃活動が拡大する可能性が考えられますので、速やかに Oracle 社が提供する対策済みソフトウエアへアップデートすることをお勧めします。
II. 対象
対象となる製品とバージョンは以下の通りです。
JDK および JRE 7 Update 6 およびそれ以前
JDK および JRE 6 Update 34 およびそれ以前
※ JDK および JRE 6 は、攻撃に使用されている脆弱性 (CVE-2012-4681) の
影響を受けません。
III. JPCERT/CC による検証結果
JPCERT/CC では、本脆弱性 (CVE-2012-4681/JDK およびJRE 7 を対象) を使用する実証コードについて検証を行いました。
[検証環境]
OS: Windows 7 SP1 (2012年8月のセキュリティ更新プログラム適用済み)
ブラウザ: Internet Explorer 9
- JRE 7 Update 6 での検証結果
上記検証環境に JRE 7 Update 6 をインストールした構成にて、実証コー
ドを実行した結果、任意のコードが実行されることを確認
また、修正済みソフトウエアの JRE 7 Update 7 では、本脆弱性の影響を受けないことを確認しています。
IV. 対策
Oracle 社から修正済みソフトウエアが公開されています。修正済みソフトウエアへアップデートしてください。
- Java SE JDK および JRE 7 Update 7
- Java SE JDK および JRE 6 Update 35
全オペレーティングシステムの Java のダウンロード一覧
http://java.com/ja/download/manual.jsp?locale=ja
※ Java SE 6 は 2013年2月にサポートが終了となることがアナウンスされ
ていますので、使用しているアプリケーションの対応状況をふまえた上
で、Java SE 7 への移行をご検討ください。
Java 6 End of Public Updates extended to February 2013
https://blogs.oracle.com/henrik/entry/java_6_eol_h_h
Java 6 Auto-Update to Java 7
http://www.oracle.com/technetwork/java/javase/documentation/autoupdate-1667051.html
V. 参考情報
Oracle
Oracle Security Alert for CVE-2012-4681
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html
Oracle
Java SE Development Kit 7 Update 7 Release Notes
http://www.oracle.com/technetwork/java/javase/7u7-relnotes-1835816.html
Oracle
Security Alert for CVE-2012-4681 Released
https://blogs.oracle.com/security/entry/security_alert_for_cve_20121
JVNTA12-240A
Oracle Java 7 に脆弱性
https://jvn.jp/cert/JVNTA12-240A/index.html
US-CERT Vulnerability Note VU#636312
Oracle Java JRE 1.7 allows untrusted code to set arbitrary Security Manager permissions
http://www.kb.cert.org/vuls/id/636312
IBM Tokyo SOC Report
JRE / JDK バージョン7のゼロデイ脆弱性を悪用する攻撃検知状況
https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/java_0day_20120830?lang=ja
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
________
改訂履歴
2012-08-31 初版
2012-09-03 「I. 概要」に追記
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
前
コメント
共 有
