2012年6月 Java SE の脆弱性を狙う攻撃に関する注意喚起
最終更新: 2012-06-29
各位
JPCERT-AT-2012-0021
JPCERT/CC
2012-06-29
<<< JPCERT/CC Alert 2012-06-29 >>>
2012年6月 Java SE の脆弱性を狙う攻撃に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120021.html
I. 概要
JPCERT/CC では、Oracle 社の Java SE JDK 及び JRE の既知の脆弱性を狙う
攻撃を確認しています。2012年6月13日に公開された Java SE JDK 及び JRE の
最新のバージョンを使用していない場合、遠隔の第三者によって任意のコード
を実行される可能性があります。脆弱性の詳細については、Oracle 社の情報を
確認してください。
Oracle Java SE Critical Patch Update Advisory - June 2012
http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html
JPCERT/CC では、正規サイトが改ざんされ、サイトにアクセスしたユーザを
攻撃サイトに転送し、マルウエアに感染させようとするインシデント報告を受
けています。
また、本脆弱性を使用した攻撃機能が一部の Exploit Kit に組み込まれてい
ることを確認しています。今後、本脆弱性を対象とした攻撃活動が拡大する可
能性が考えられますので、Oracle 社が提供する対策済みソフトウエアへアップ
デートすることをお勧めします。
II. 対象
JDK および JRE 7 Update 4 およびそれ以前
JDK および JRE 6 Update 32 およびそれ以前
III. JPCERT/CC による検証結果
JPCERT/CC では、攻撃サイトに設置されていた本脆弱性を使用する攻撃コー
ドについて検証を行いました。
[検証環境]
OS: Windows XP SP3 適用済
ブラウザ: IE 8.0.6001.18702
- JRE 6 Update 32 / JRE 7 Update 4 での検証結果
上記検証環境に JRE 6 update 32 / JRE 7 Update 4 をインストールした
構成にて、攻撃コードを実行した結果、外部サイトに接続が行われること
を確認
- JRE 6 Update 33 / JRE 7 Update 5 での検証結果
上記検証環境に JRE 6 update 33 / JRE 7 Update 5 をインストールした
構成にて、攻撃コードを実行した結果、外部サイトに接続が行われないこ
とを確認
IV. 対策
Oracle 社から修正済みソフトウエアが公開されています。修正済みソフトウ
エアへアップデートしてください。
- Java SE JDK および JRE 7 Update 5
- Java SE JDK および JRE 6 Update 33
全オペレーティングシステムの Java のダウンロード一覧
http://java.com/ja/download/manual.jsp?locale=ja
※ Java SE 6 は 2012年11月にサポートが終了となることがアナウンスされ
ていますので、使用しているアプリケーションの対応状況をふまえた上
で、Java SE 7 への移行をご検討ください。
Oracle Technology Network
Java SE EOL Policy: Java SE 6 End of Life (EOL) Notice
http://www.oracle.com/technetwork/java/eol-135779.html#Interfaces
Oracle
Moving to Java 7 as default
https://blogs.oracle.com/henrik/entry/moving_to_java_7_as
V. 参考情報
Oracle
Oracle Java SE Critical Patch Update Advisory - June 2012
http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html
June 2012 Critical Patch Update for Java SE Released
https://blogs.oracle.com/security/entry/june_2012_critical_patch_update
Text Form of Oracle Java SE Critical Patch Update - June 2012 Risk Matrices
http://www.oracle.com/technetwork/topics/security/javacpujun2012verbose-1515971.html
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ