公開日:2013/02/21 最終更新日:2015/10/21

JVNTA13-051A
Oracle Java に複数の脆弱性
緊急

概要

Oracle Java には、複数の脆弱性が存在します。

影響を受けるシステム

以下の製品を含む、Oracle Java を使用しているウェブブラウザ等のシステム

  • Java Platform Standard Edition 7 (Java SE 7) Update 15 より前のバージョン
  • Java SE Development Kit (JDK 7) Update 15 より前のバージョン
  • Java SE Runtime Environment (JRE 7) Update 15 より前のバージョン

詳細情報

Oracle Java には、Java のサンドボックスを回避され、任意のコードが実行可能な脆弱性が存在します。

なお、本脆弱性を使用した攻撃が観測されています。

想定される影響

細工された Java アプレットが埋め込まれたウェブページや、Java Network Launching Protocol (JNLP) ファイルを開くことで、任意のコードが実行される可能性があります。
Java サーバアプリケーションの場合、細工されたファイルを処理することで、任意のコードが実行される可能性があります。

また、スタンドアロンの Java アプリケーションも、本脆弱性の影響を受ける可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • ウェブブラウザの Java プラグインを無効にする

ベンダ情報

ベンダ リンク
Oracle Updated Release of the February 2013 Oracle Java SE Critical Patch Update
Java SE Downloads
Setting the Security Level of the Java Client - Disabling Java in the Browser
富士通 TA13-051に対する富士通の情報

参考情報

  1. Apple
    Support - Safari で Java Web プラグインを無効にする方法
  2. Mozilla
    Firefox ヘルプ - Java アプレットを無効にするには
  3. Google
    Chrome のヘルプ - プラグイン
  4. Microsoft
    Internet Explorer で Java Web プラグインを無効にする方法

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2013.02.21における脆弱性分析結果  緊急

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 専門知識や運がなくとも攻撃可能

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2013-0011
2013年2月 Oracle Java SE のクリティカルパッチアップデート (定例) に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2013-0169
CVE-2013-1484
CVE-2013-1485
CVE-2013-1486
CVE-2013-1487
JVN iPedia

更新履歴

2013/02/28
ベンダ情報に富士通のリンクを追加しました。
2015/10/21
ベンダ情報を更新しました