各位
Oracle Sun JDK および JRE の脆弱性に関する注意喚起
Vulnerabilities in Oracle Sun JDK and JRE
https://www.jpcert.or.jp/at/2010/at100010.txt
I. 概要
Oracle 社の JDK および JRE には複数の脆弱性があります。結果として、遠隔の第三者は細工した Web サイト等をユーザに閲覧させることで、任意のコードを実行したりする可能性があります。また、本脆弱性を使用したと思われる攻撃サイトが既に公開されています。早急なパッチ適用をお勧めします。
Oracle Security Alert CVE-2010-0886
http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0886.html
II. 対象
対象となる製品とバージョンは以下の通りです。
JDK および JRE 6 Update 19 およびそれ以前
※一部メーカー製 PC では、JRE がプリインストールされている場合があります。念のため、利用中の PC に JRE がインストールされているかどうかを確認してください。
III. JPCERT/CCによる検証結果
JPCERT/CC では、本脆弱性を使用する攻撃実証コードについて検証を行いました。
[検証環境]
OS: Windows XP SP3 (2010年4月セキュリティ更新プログラム適用済み)
ブラウザ: IE: 8.0.6001.18702 または Firefox: 3.6.3
- JRE 6 Update 19 での検証結果
上記検証環境に JRE 6 update 19 をインストールした構成にて、実証
コードを実行した結果、calc.exe が実行されることを確認。
(ブラウザ上 に Java のロゴが表示される)
- JRE 6 Update 20 での検証結果
上記検証環境に JRE 6 update 20 をインストールした構成にて、実証
コードを実行した結果、calc.exe が実行されないことを確認。
(ブラウザ上 に Java のロゴが表示されない)
IV. 対策
Oracle 社より提供されている修正済みソフトウエア(update 20)を適用してください。
Java SE Downloads
http://java.sun.com/javase/downloads/index.jsp
64bit 版 Windows を使用している場合、32bit 版 JRE、64bit 版 JDK/JRE のいずれか、または両方がインストールされている場合がありますので、利用している JDK/JRE をご確認の上、修正済ソフトウエアを適用して下さい。
V. 参考情報
Oracle
Security Alert for CVE-2010-0886 and CVE-2010-0887 Released
http://blogs.oracle.com/security/2010/04/security_alert_for_cve-2010-08.html
JVNVU#886582
Oracle Sun Java Deployment Toolkit に引数の検証処理に問題
https://jvn.jp/cert/JVNVU886582/index.html
ISS Tokyo SOC Report
Java Deployment Toolkit の脆弱性を悪用したゼロディ攻撃を観測
https://www-950.ibm.com/blogs/tokyo-soc/entry/javaws-201004?lang=ja
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2010-0010
JPCERT/CC
2010-04-16
JPCERT/CC Alert 2010-04-16
Oracle Sun JDK および JRE の脆弱性に関する注意喚起
Vulnerabilities in Oracle Sun JDK and JRE
https://www.jpcert.or.jp/at/2010/at100010.txt
I. 概要
Oracle 社の JDK および JRE には複数の脆弱性があります。結果として、遠隔の第三者は細工した Web サイト等をユーザに閲覧させることで、任意のコードを実行したりする可能性があります。また、本脆弱性を使用したと思われる攻撃サイトが既に公開されています。早急なパッチ適用をお勧めします。
Oracle Security Alert CVE-2010-0886
http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0886.html
II. 対象
対象となる製品とバージョンは以下の通りです。
JDK および JRE 6 Update 19 およびそれ以前
※一部メーカー製 PC では、JRE がプリインストールされている場合があります。念のため、利用中の PC に JRE がインストールされているかどうかを確認してください。
III. JPCERT/CCによる検証結果
JPCERT/CC では、本脆弱性を使用する攻撃実証コードについて検証を行いました。
[検証環境]
OS: Windows XP SP3 (2010年4月セキュリティ更新プログラム適用済み)
ブラウザ: IE: 8.0.6001.18702 または Firefox: 3.6.3
- JRE 6 Update 19 での検証結果
上記検証環境に JRE 6 update 19 をインストールした構成にて、実証
コードを実行した結果、calc.exe が実行されることを確認。
(ブラウザ上 に Java のロゴが表示される)
- JRE 6 Update 20 での検証結果
上記検証環境に JRE 6 update 20 をインストールした構成にて、実証
コードを実行した結果、calc.exe が実行されないことを確認。
(ブラウザ上 に Java のロゴが表示されない)
IV. 対策
Oracle 社より提供されている修正済みソフトウエア(update 20)を適用してください。
Java SE Downloads
http://java.sun.com/javase/downloads/index.jsp
64bit 版 Windows を使用している場合、32bit 版 JRE、64bit 版 JDK/JRE のいずれか、または両方がインストールされている場合がありますので、利用している JDK/JRE をご確認の上、修正済ソフトウエアを適用して下さい。
V. 参考情報
Oracle
Security Alert for CVE-2010-0886 and CVE-2010-0887 Released
http://blogs.oracle.com/security/2010/04/security_alert_for_cve-2010-08.html
JVNVU#886582
Oracle Sun Java Deployment Toolkit に引数の検証処理に問題
https://jvn.jp/cert/JVNVU886582/index.html
ISS Tokyo SOC Report
Java Deployment Toolkit の脆弱性を悪用したゼロディ攻撃を観測
https://www-950.ibm.com/blogs/tokyo-soc/entry/javaws-201004?lang=ja
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/