-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2012-0021 JPCERT/CC 2012-06-29 <<< JPCERT/CC Alert 2012-06-29 >>> 2012年6月 Java SE の脆弱性を狙う攻撃に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120021.html I. 概要 JPCERT/CC では、Oracle 社の Java SE JDK 及び JRE の既知の脆弱性を狙う 攻撃を確認しています。2012年6月13日に公開された Java SE JDK 及び JRE の 最新のバージョンを使用していない場合、遠隔の第三者によって任意のコード を実行される可能性があります。脆弱性の詳細については、Oracle 社の情報を 確認してください。 Oracle Java SE Critical Patch Update Advisory - June 2012 http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html JPCERT/CC では、正規サイトが改ざんされ、サイトにアクセスしたユーザを 攻撃サイトに転送し、マルウエアに感染させようとするインシデント報告を受 けています。 また、本脆弱性を使用した攻撃機能が一部の Exploit Kit に組み込まれてい ることを確認しています。今後、本脆弱性を対象とした攻撃活動が拡大する可 能性が考えられますので、Oracle 社が提供する対策済みソフトウエアへアップ デートすることをお勧めします。 II. 対象 JDK および JRE 7 Update 4 およびそれ以前 JDK および JRE 6 Update 32 およびそれ以前 III. JPCERT/CC による検証結果 JPCERT/CC では、攻撃サイトに設置されていた本脆弱性を使用する攻撃コー ドについて検証を行いました。 [検証環境] OS: Windows XP SP3 適用済 ブラウザ: IE 8.0.6001.18702 - JRE 6 Update 32 / JRE 7 Update 4 での検証結果 上記検証環境に JRE 6 update 32 / JRE 7 Update 4 をインストールした 構成にて、攻撃コードを実行した結果、外部サイトに接続が行われること を確認 - JRE 6 Update 33 / JRE 7 Update 5 での検証結果 上記検証環境に JRE 6 update 33 / JRE 7 Update 5 をインストールした 構成にて、攻撃コードを実行した結果、外部サイトに接続が行われないこ とを確認 IV. 対策 Oracle 社から修正済みソフトウエアが公開されています。修正済みソフトウ エアへアップデートしてください。 - Java SE JDK および JRE 7 Update 5 - Java SE JDK および JRE 6 Update 33 全オペレーティングシステムの Java のダウンロード一覧 http://java.com/ja/download/manual.jsp?locale=ja ※ Java SE 6 は 2012年11月にサポートが終了となることがアナウンスされ ていますので、使用しているアプリケーションの対応状況をふまえた上 で、Java SE 7 への移行をご検討ください。 Oracle Technology Network Java SE EOL Policy: Java SE 6 End of Life (EOL) Notice http://www.oracle.com/technetwork/java/eol-135779.html#Interfaces Oracle Moving to Java 7 as default https://blogs.oracle.com/henrik/entry/moving_to_java_7_as V. 参考情報 Oracle Oracle Java SE Critical Patch Update Advisory - June 2012 http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html June 2012 Critical Patch Update for Java SE Released https://blogs.oracle.com/security/entry/june_2012_critical_patch_update Text Form of Oracle Java SE Critical Patch Update - June 2012 Risk Matrices http://www.oracle.com/technetwork/topics/security/javacpujun2012verbose-1515971.html 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEVAwUBT+0C9jF9l6Rp7OBIAQjwsgf/dt6FDtrvbVOgN0E1TeEuXdQbReF/qAvL RH8iLBqfrX+SdxV+l+utWLc9SKDksxaRAQJ4tlAPw5G0g7Wwsg4r1Kd+w9QQtuZt w8CtCmnAFt2S5PMOdv04CsaCryKSUPWsejNgP83sjtNMzSVa5T8No9xRvNM3w5C4 qZnO17MNmqj8CNGjojNoLAGrW76TinFYrCmes0KkNPh70vwSf4v0Oh5N4JN0UbQ5 tqepvIlQ8uGLBPEAXQjHO0Vnw97cP4ar1ahTRdTI/q2zmR+m7Lvczam5wBgvtf16 lL+xoo4IYNynFVDDON83CnVBv2iHx779p3sylHOm3HE/raCwIqXsrQ== =tZTx -----END PGP SIGNATURE-----