各位
Java SE を対象とした既知の脆弱性を狙う攻撃に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110032.txt
I. 概要
JPCERT/CC では、Oracle 社の Java SE JDK 及び JRE の既知の脆弱性を狙う攻撃を確認しています。2011年10月11日に公開された Java SE JDK 及び JRE6 Update 29 より前のバージョンを使用している場合、遠隔の第三者によって任意のコードを実行される可能性があります。脆弱性の詳細については、Oracle 社の情報を確認してください。
Oracle Java SE Critical Patch Update Advisory - October 2011
http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html
JPCERT/CC では、本脆弱性を使用した攻撃サイトを確認しており、現時点で2つの攻撃手法を確認しています。
1. 正規サイトが改ざんされ、サイトにアクセスしたユーザを攻撃サイトに
転送し、マルウエアに感染させようとするケース
2. スパムメールの本文内に記載されたリンクをユーザにアクセスさせ、攻
撃サイトに誘導し、マルウエアに感染させようとするケース
既に、脆弱性診断ツールの一部や、いわゆるガンブラーで用いられたExploit Kit の一部にも組み込まれていることを確認しています。本脆弱性を対象とした攻撃活動が拡大する可能性が考えられますので、Oracle 社が提供する対策済みソフトウエアへアップデートの実施をお勧めします。
II. 対象
Java SE JDK および JRE 6 Update 27 以前
JDK/JRE の製品サポート期間について:
JDK/JRE 5.0 系列の製品は 2009年10月30日にサポート期間が満了したことに
より、無償アップデートは終了しています。アプリケーションのバージョン
アップや有償サポートへの加入をご検討下さい。
Java SE 6 End of Life (EOL) Notice (英語)
http://www.oracle.com/technetwork/java/eol-135779.html
※ 一部メーカー製 PC では、JRE がプリインストールされている場合があり
ます。念のため、利用中の PC に JRE がインストールされているかどう
かを確認してください。
III. 対策
Oracle 社から修正済みソフトウエアが公開されています。修正済みソフトウエアへアップデートしてください。
- Java SE 6 Update 29
全オペレーティングシステムの Java のダウンロード一覧
http://java.com/ja/download/manual.jsp?locale=ja
IV. 参考情報
Oracle
Oracle Java SE Critical Patch Update Advisory - October 2011
http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html
October 2011 Critical Patch Updates Released
http://blogs.oracle.com/security/entry/october_2011_critical_patch_updates
NTTデータ先端技術株式会社
Oracle Java SE JDKおよびJREのRhinoスクリプトエンジンの脆弱性(CVE-2011-3544)に関する検証レポート
http://security.intellilink.co.jp/article/vulner/111202.html
So-net セキュリティ通信
修正されたばかりのJREの脆弱性を突く実証コード公開
http://security-t.blog.so-net.ne.jp/2011-12-01
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2011-0032
JPCERT/CC
2011-12-05
JPCERT/CC Alert 2011-12-05
Java SE を対象とした既知の脆弱性を狙う攻撃に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110032.txt
I. 概要
JPCERT/CC では、Oracle 社の Java SE JDK 及び JRE の既知の脆弱性を狙う攻撃を確認しています。2011年10月11日に公開された Java SE JDK 及び JRE6 Update 29 より前のバージョンを使用している場合、遠隔の第三者によって任意のコードを実行される可能性があります。脆弱性の詳細については、Oracle 社の情報を確認してください。
Oracle Java SE Critical Patch Update Advisory - October 2011
http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html
JPCERT/CC では、本脆弱性を使用した攻撃サイトを確認しており、現時点で2つの攻撃手法を確認しています。
1. 正規サイトが改ざんされ、サイトにアクセスしたユーザを攻撃サイトに
転送し、マルウエアに感染させようとするケース
2. スパムメールの本文内に記載されたリンクをユーザにアクセスさせ、攻
撃サイトに誘導し、マルウエアに感染させようとするケース
既に、脆弱性診断ツールの一部や、いわゆるガンブラーで用いられたExploit Kit の一部にも組み込まれていることを確認しています。本脆弱性を対象とした攻撃活動が拡大する可能性が考えられますので、Oracle 社が提供する対策済みソフトウエアへアップデートの実施をお勧めします。
II. 対象
Java SE JDK および JRE 6 Update 27 以前
JDK/JRE の製品サポート期間について:
JDK/JRE 5.0 系列の製品は 2009年10月30日にサポート期間が満了したことに
より、無償アップデートは終了しています。アプリケーションのバージョン
アップや有償サポートへの加入をご検討下さい。
Java SE 6 End of Life (EOL) Notice (英語)
http://www.oracle.com/technetwork/java/eol-135779.html
※ 一部メーカー製 PC では、JRE がプリインストールされている場合があり
ます。念のため、利用中の PC に JRE がインストールされているかどう
かを確認してください。
III. 対策
Oracle 社から修正済みソフトウエアが公開されています。修正済みソフトウエアへアップデートしてください。
- Java SE 6 Update 29
全オペレーティングシステムの Java のダウンロード一覧
http://java.com/ja/download/manual.jsp?locale=ja
IV. 参考情報
Oracle
Oracle Java SE Critical Patch Update Advisory - October 2011
http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html
October 2011 Critical Patch Updates Released
http://blogs.oracle.com/security/entry/october_2011_critical_patch_updates
NTTデータ先端技術株式会社
Oracle Java SE JDKおよびJREのRhinoスクリプトエンジンの脆弱性(CVE-2011-3544)に関する検証レポート
http://security.intellilink.co.jp/article/vulner/111202.html
So-net セキュリティ通信
修正されたばかりのJREの脆弱性を突く実証コード公開
http://security-t.blog.so-net.ne.jp/2011-12-01
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
前
コメント
共 有
