【セキュリティー】

米MicrosoftのJavaセキュリティーホール修正は不十分と発見者が指摘

■URL
http://www.solutions.fi/index.cgi/news_2002_09_19?lang=eng
http://www.microsoft.com/japan/technet/security/bulletin/MS02-052.asp

 米Microsoftは19日、MicrosoftのJavaVMに含まれる複数のセキュリティーホールの修正パッチを発表した。これはJavaJDBCクラスに関連した複数のセキュリティーホールを通して任意のコードが実行できる可能性があるというものだが、このセキュリティーホールの発見者であるフィンランドのOnline Solutionsは、依然として深刻なセキュリティーホールが残されているためこの修正パッチでは不十分であり、Java機能を実行できないようにするようユーザーに勧めている。

 Microsoftが19日に発表した修正パッチの説明によれば、この修正パッチではJavaデータベース接続(JDBC)クラスに関連して3つのセキュリティーホールが存在することを認め、これを修正した。しかしOnline SolutionsがもともとMicrosoftのJavaVMに存在するとしたセキュリティーホールは10以上で、いずれもMicrosoftに報告されていると説明している。しかもMicrosoftが修正していないこれらセキュリティーホールの中には、任意のコードが実行できるものなど深刻なバグが含まれており、かなりの危険性があるという。

 そのためOnline SolutionsではこれらのセキュリティーホールをMicrosoftが修正するまで、インターネットゾーンではJavaアプレットを実行できないように設定を変更するよう利用者に勧めている。また、このセキュリティーホールはSunのJavaには存在しないため、Sunの提供しているJava Plug-inを利用するという選択肢もある。

◎関連記事
Internet ExplorerのJava環境にセキュリティーホール

(2002/9/20)

[Reported by 青木 大我 (taiga@scientist.com)]

ほかの記事はこちらから

INTERNET Watch編集部internet-watch-info@impress.co.jp
Copyright (c) 2002 Impress Corporation All rights reserved.