公開日:2013/06/19 最終更新日:2021/02/17

JVNVU#94189582
Oracle Javadoc ツールに脆弱性

概要

Oracle Java Development Toolkit (JDK) に含まれる Javadoc ツールで生成した HTML ファイルには、ページ内のフレームに任意のウェブサイトのコンテンツを表示できる脆弱性が存在します。

影響を受けるシステム

以下の製品に含まれる Javadoc ツールで生成した HTML ファイル

  • Java Development Toolkit (JDK) 7 Update 21 およびそれ以前
  • Java Development Toolkit (JDK) 6 Update 45 およびそれ以前
  • Java Development Toolkit (JDK) 5.0 Update 45 およびそれ以前
  • JavaFX 2.2.21 およびそれ以前

詳細情報

Oracle Java Development Toolkit (JDK) に含まれる Javadoc ツールで生成した HTML ファイルには、ページ内のフレームに任意のウェブサイトのコンテンツを表示できる脆弱性が存在します。

詳しくは、開発者が提供する情報をご確認ください。

想定される影響

ウェブページ内のフレームに任意のウェブサイトのコンテンツを表示され、フィッシング詐欺などに使用される可能性があります。

対策方法

アップデートする
本脆弱性は Oracle Java SE Critical Patch Update June 2013 で修正されています。
開発者が提供する情報をもとに、Oracle Java Development Toolkit (JDK) を最新版へアップデートし、Javadoc ツールで生成した HTML ファイルを作り直してください。

Java API Documentation Updater Tool を使用する
開発者から、Javadoc ツールで生成された HTML ファイルを直接修正する Java API Documentation Updater Tool が公開されています。

詳しくは、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
サイボウズ株式会社 該当製品無し 2015/03/17
株式会社リコー 該当製品無し 2021/02/17
ベンダ リンク
Oracle Oracle Java SE Critical Patch Update Advisory - June 2013
Java API Documentation Updater Tool
Apple About the security content of Java for OS X 2013-004 and Mac OS X v10.6 Update 16

参考情報

  1. CERT/CC Vulnerability Note VU#225657
    Oracle Javadoc HTML frame injection vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2013-0030
2013年6月 Oracle Java SE のクリティカルパッチアップデート (定例) に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2013-1571
JVN iPedia

更新履歴

2015/03/17
サイボウズ株式会社のベンダステータスが更新されました
2021/02/17
株式会社リコーのベンダステータスが更新されました