サン・マイクロシステムズ社が提供しているJavaランタイム環境(JRE:Java Runtime Environment)に3件の脆弱性が発見され、同社やセキュリティ企業が最新版へのアップデートを促している。
同社が28日(現地時間)に公開した3件の脆弱性は、アプレットの特権昇格が行われるもので、不正なアプレットによって、ローカルファイルの操作やプログラムの実行などが行われる可能性がある。影響を受けるのは、Windows、Solaris、Linux版の1.3.1_15以前、1.4.2_08以前、5.0 Update 3以前のバージョンで、最新版ではいずれも修正されている。
アプレットはブラウザがWebサイトからダウンロードし、ブラウザ内で実行するJavaで書かれたプログラム。JREは、それを実行するために必要なソフトウェアのこと。セキュリティ上、アプレットにはローカルファイルにアクセスできないなどの、さまざまな制限が課せられているが、特権昇格の脆弱性はアプレットに制限を超えることを許してしまう。
【解説:JREのバージョンチェック】
Windowsのコマンドプロンプト(XPなら[スタートメニュー]→[すべてのプログラム]→[アクセサリ])を開き、「java -fullversion」と入力して「Enter」キーを押すと、インストールされているJREのバージョンを確認することができる。
「'java' は、内部コマンドまたは外部コマンド、操作可能なプログラムまたはバッチ ファイルとして認識されていません」と表示されたら、JREはインストールされていない。
(2005/12/01 ネットセキュリティニュース)
■サンの脆弱性報告(英文)
・#102017 Security Vulnerability With Java Management Extensions in the Java Runtime Environment may Allow Untrusted Applet to Elevate Privileges
http://sunsolve.sun.com/searchproxy/document.do?assetkey=1-26-102017-1
・#102003 Security Vulnerabilities in the Java Runtime Environment May Allow an Untrusted Applet to Elevate Its Privileges
http://sunsolve.sun.com/searchproxy/document.do?assetkey=1-26-102003-1
・#102050 Security Vulnerability With Java Runtime Environment May Allow Untrusted Applet to Elevate Privileges
http://sunsolve.sun.com/searchproxy/document.do?assetkey=1-26-102050-1
■Java Runtime Environment(JRE)等の脆弱性について(警察庁)
http://www.cyberpolice.go.jp/important/2005/20051130_185131.html
■各バージョンの最新版
・1.3.1_16
http://java.sun.com/j2se/1.3/ja/download.html
・1.4.2_10
http://java.sun.com/j2se/1.4.2/ja/download.html
・5.0 Update 5
http://java.sun.com/j2se/1.5.0/ja/download.html