米SANS Instituteは現地時間12月1日付けの「Handler's Diary」において,米Sun MicrosystemsのJava実行環境(JRE)などに見つかったセキュリティ・ホールをチェックするためのサイトなどを紹介した。
対象となるセキュリティ・ホールは,現地時間11月29日に報告されたもの(関連記事)。Java実行環境「Java Runtime Environment(JRE)」やJava開発キット「Java Development Kit(JDK)」,Javaソフトウエア開発キット「Java Software Development Kit(SDK)」が影響を受ける。
セキュリティ・ホールを突けば,Javaのセキュリティ機構(サンドボックス)を破ることができる。具体的には,悪意のあるWebサイトにアクセスするだけで,パソコン中のファイルを読み書きされたり,アプリケーションを実行させられたりする。危険なセキュリティ・ホールである。
セキュリティ・ホールを解消するためのアップデートやセキュリティ情報については,Sunが既に公表している(詳細は関連記事を参照のこと)。今回SANSが紹介したのは,自分のパソコンにインストールされているJavaバージョンを調べるツールやインストラクションなどが掲載されているサイト。
紹介したサイトは2種類。Sunのダウンロード・サイト「Java Software Download」サイトと「Java Tester」のバージョン・チェック用サイトである。
Sun Java downloadサイトでは,Windows+Internet Explorer環境であれば,ActiveXコントロールを使って,現在インストールされているJREのバージョンを確認できる。また,各OS用JREの最新バージョンやインストール方法(インストラクション)へのリンクを用意している。JavaTesterのページには,コマンド・ラインやアプリケーションのメニューからの確認方法が詳しく記載されている。いずれも英語のサイトだが有用である。
なお,Mac OS XのJavaについては,2005月に公開されたアップデート「Java 1.3.1&1.4.2 Release 2」を適用していれば,バージョン1.3.1_16あるいは1.4.2_09にアップグレードされているので,今回のセキュリティ・ホールの影響を受けない(関連記事)。J2SE 5.0については,11月15日に公開された「Java 2 SE 5.0 Release 3」を適用すれば解消できる(“Release 3”とされているが,適用するとバージョンはUpdate 5相当の1.5.0_05になる)。
◎参考資料
◆Determining Sun Java Vulnerability(米SANS Institute)
◆Java Software Download(米Sun Microsystems)
◆What Version of Java Are You Using?(Java Tester)
◆About the security content of J2SE 5.0 Release 3(米Apple Computer)
◆Java 1.3.1 and 1.4.2 Release 2(米Apple Computer)
◆Java 2 SE 5.0 Release 3(米Apple Computer)
◆About the security content of J2SE 5.0 Release 3(米Apple Computer)
