【Java】


米Princeton大のグループがJDK1.1.1のデジタル署名に関するセキュリティバグを発見

■URL
http://www.javasoft.com/security/getSigners.html

 米Princeton大学のグループがJDK1.1.1のデジタル署名技術に関するセキュリティバグを発見、米JavaSoft社に報告した。

 このバグは、Java実行環境に記録されている署名リストの中の他人になりすますことができるというもので、不正なアクセスを可能にしてしまう。

 同社は、Internet ExplorerやNetscape Navigatorがこの機能をサポートしていないこと、ライセンシーがこの機能を搭載した製品をまだ出荷していないこと、影響があるHotJava Browserでも「Signed applet」へのアクセスを拒否する設定にすればこの問題を回避できることから、最小限の被害にとどまるとしている。

 これを受けて、同社はバグフィックス版のJDK1.1.2を5月中旬にリリースする予定だ。

('97/5/6)

[Reported by kono@impress.co.jp]


INTERNET Watchホームページ


ウォッチ編集部INTERNET Watch担当 internet-watch-info@impress.co.jp