米Appleは米国時間9月13日,Mac OS X 10.3.9/10.4.2に搭載されたJava 1.3.1/1.4.2に複数のセキュリティ・ホールが見つかったことを明らかにした。同時に,セキュリティ・ホールを修正する「Java Security Update」を公開。Java Security Updateを適用すれば,セキュリティ・ホールを修正したJava 1.3.1_16あるいは1.4.2_09にアップグレードされる。Java Security Updateは同社サイトやソフトウェアアップデート機能から入手できる。
今回公表されたセキュリティ・ホールは以下の5種類。
(1)テンポラリ・ディレクトリを取り扱う際に,競合状態(race condition)が発生するセキュリティ・ホール。悪用されると,ローカルの攻撃者に任意のファイルを破壊されたり作成されたりする。
(2)Java共有アーカイブを更新する際に,競合状態(race condition)が発生するセキュリティ・ホール。悪用されると,ローカルの攻撃者に任意のファイルを破壊されたり作成されたりする。
(3)Java共有アーカイブを更新するユーティリティに関するセキュリティ・ホール。悪意のあるユーザーに,許可していない権限で任意のコマンドを実行される恐れがある。
(4)Javaアプレットの取り扱いに関するセキュリティ・ホール。細工が施されたアプレットを読み込むと,セキュリティ設定を回避されて,本来は許可していない権限で実行させられる可能性がある。
(5)Java ServerSocketに関するセキュリティ・ホール。悪用すれば,あるJavaプログラムが送受信するデータを別のJavaプログラムで傍受できる。
対策は,同社が公開するJava Security Updateを適用すること。Java 1.3.1はJava 1.3.1_16に,Java 1.4.2はJava 1.4.2_09に自動的にアップグレードされる。他のSecurity Update同様,Mac OS Xが備えるソフトウェアアップデート機能からも適用できる。
◎参考資料
◆About the Java Security Update
◆Java Security Update
◆MacOS X Java patches
◆Apple Security Update Fixes Multiple Java Platform Vulnerabilities