米Sun Microsystemsは、「Sun Java JRE」と「Sun Java SDK」のバージョン1.4.2_05以前と、1.4.1、1.4.0、および1.3.1_12以前に、不正アクセスされうる脆弱性があると発表した。デンマークのセキュリティベンダーであるSecuniaによれば、危険度は5段階中2番目に高い“Highly critical”。Sunでは脆弱性を修正した1.4.2_06以降、もしくは1.3.1_13以降にバージョンアップすることを呼びかけている。
脆弱性発表に協力した米iDEFFENSEによれば、今回の脆弱性は、攻撃者がJavaのサンドボックスやJavaアプレットのセキュリティ制限を回避できるという設計上の問題だという。JavaScriptのデータを変換するアクセス管理技術に問題があり、WebブラウザでSunのJavaプラグイン技術を使用する際に、安全ではないJavaアプレットを起動するJavaScriptを許可してしまう仕組みになっている。
この脆弱性が悪用された場合は、外部からの攻撃を許してしまい、任意のファイルへのアクセスやファイルのダウンロード、アップロードなどが可能だという。iDEFFENSEでは、ブラウザ上に脆弱性のあるJava VMを起動させているユーザーが攻撃の対象となると警告している。
関連情報
■URL
脆弱性情報(Sun Microsystems、英文)
http://sunsolve.sun.com/search/document.do?assetkey=1-26-57591-1
脆弱性情報(iDEFFENSE、英文)
http://www.idefense.com/application/poi/display?id=158
脆弱性情報(Secunia、英文)
http://secunia.com/advisories/13271/
( 鷹木 創 )
2004/11/24 18:22
- ページの先頭へ-
|