米Sun Microsystemsは現地時間2月7日,同社のJava実行環境「Java Runtime Environment(JRE)」などに7種類のセキュリティ・ホールが見つかったことを明らかにした。Javaのセキュリティ機構(サンドボックス)を回避されて,パソコン内のファイルを勝手に読み書きされたり,アプリケーションを実行されたりする恐れがある。対策は,ソフトウエアをアップデートすること。
以下のソフトウエア/バージョンが,今回のセキュリティ・ホールの影響を受ける。
- JRE 1.3.1_16以前/1.4.2_09以前/5.0 Update 5以前
- Javaソフトウエア開発キット「Java Software Development Kit(SDK)」1.3.1_16以前/1.4.2_08以前
- Java開発キット「Java Development Kit(JDK)」の5.0 Update 5以前
影響を受けるプラットフォーム(OS)は,Windows,Solaris,Linux。
7種類のセキュリティ・ホールが見つかったとされているが,"reflection" APIに関連すること以外は明らかにされていない。今回のセキュリティ・ホールを悪用されるとサンドボックスを破られて,Javaアプレットに対して本来は許可していない動作を許す可能性がある。具体的には,悪意のあるWebサイトにアクセスするだけで,パソコンに保存しているファイルを読み書きされたり,アプリケーションを実行されたりする。
デンマークSecuniaでは深刻度を「Highly critical(高)」に設定している危険なセキュリティ・ホールである。対策は,JREなどのアップデート。Sun Microsystemsでは修正版を公開している。
- JDK 5.0/JRE 5.0:
JDK 5.0 Update 6/JRE 5.0 Update 6へアップデート(ダウンロード・サイト) - SDK 1.4.x/JRE 1.4.x:
SDK 1.4.2_10/JRE 1.4.2_10へアップデート(ダウンロード・サイト) - SDK 1.3.x/JRE 1.3.x:
SDK 1.3.1_17/JRE 1.3.1_17へアップデート(ダウンロード・サイト)
パソコンにインストールされているJREのバージョン(JREのデフォルト・バージョン)は,コマンド・ラインで「java -fullversion」を実行すれば確認できる。Windowsでは,「ファイル名を指定して実行」で「cmd」コマンドを実行し,表示されたウインドウで「java -fullversion」を実行する。例えば,バージョンが「1.5.0_05」と表示された場合には,インストールされているJREのバージョンは「5.0 Update 5」である。
◎参考資料
◆Security Vulnerabilities in the Java Runtime Environment may Allow an Untrusted Applet to Elevate its Privileges(米Sun Microsystems)
◆Sun Java JRE "reflection" APIs Sandbox Security Bypass Vulnerabilities(デンマークSecunia)