• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

Javaに複数の危険なセキュリティ・ホール,“サンドボックス”を回避される

勝村 幸博=ITPro 2006/02/08 ITpro

 米Sun Microsystemsは現地時間2月7日,同社のJava実行環境「Java Runtime Environment(JRE)」などに7種類のセキュリティ・ホールが見つかったことを明らかにした。Javaのセキュリティ機構(サンドボックス)を回避されて,パソコン内のファイルを勝手に読み書きされたり,アプリケーションを実行されたりする恐れがある。対策は,ソフトウエアをアップデートすること。

 以下のソフトウエア/バージョンが,今回のセキュリティ・ホールの影響を受ける。

  • JRE 1.3.1_16以前/1.4.2_09以前/5.0 Update 5以前
  • Javaソフトウエア開発キット「Java Software Development Kit(SDK)」1.3.1_16以前/1.4.2_08以前
  • Java開発キット「Java Development Kit(JDK)」の5.0 Update 5以前

 影響を受けるプラットフォーム(OS)は,Windows,Solaris,Linux。

 7種類のセキュリティ・ホールが見つかったとされているが,"reflection" APIに関連すること以外は明らかにされていない。今回のセキュリティ・ホールを悪用されるとサンドボックスを破られて,Javaアプレットに対して本来は許可していない動作を許す可能性がある。具体的には,悪意のあるWebサイトにアクセスするだけで,パソコンに保存しているファイルを読み書きされたり,アプリケーションを実行されたりする。

 デンマークSecuniaでは深刻度を「Highly critical(高)」に設定している危険なセキュリティ・ホールである。対策は,JREなどのアップデート。Sun Microsystemsでは修正版を公開している。

 パソコンにインストールされているJREのバージョン(JREのデフォルト・バージョン)は,コマンド・ラインで「java -fullversion」を実行すれば確認できる。Windowsでは,「ファイル名を指定して実行」で「cmd」コマンドを実行し,表示されたウインドウで「java -fullversion」を実行する。例えば,バージョンが「1.5.0_05」と表示された場合には,インストールされているJREのバージョンは「5.0 Update 5」である。

◎参考資料
Security Vulnerabilities in the Java Runtime Environment may Allow an Untrusted Applet to Elevate its Privileges(米Sun Microsystems)
Sun Java JRE "reflection" APIs Sandbox Security Bypass Vulnerabilities(デンマークSecunia)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【ニュース解説】

    インドIT大手が米クラウド専業を買収した理由

     米アピリオが、事業戦略の転換を図っている。米セールスフォース・ドットコムなどのクラウドサービスを活用したシステム開発で実績を積んできたが、インドのIT大手ウィプロが買収。今後は、ウィプログループのクラウド事業の牽引役としての役割を果たす。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る