米Sun Microsystemsなどは米国時間11月22日,同社のJavaプラグイン・ソフトに見つかったセキュリティ・ホールを公表した。細工が施されたWebページを閲覧するだけで,任意のプログラムを実行させられたり,パソコンの乗っ取られたりする恐れがある。影響を受けるプラグインはJ2SE(Java 2 Platform, Standard Edition)JRE 1.3.x/1.4.x,J2SE SDK 1.3.x/1.4.xに含まれる。対策は,セキュリティ・ホールを修正したJ2SE SDK/JRE 1.4.2_06あるいは 1.3.1_13にバージョンアップすること。
J2SE JRE/SDKに含まれるJavaプラグインは,WebブラウザをJavaのプラットフォームにするためのソフトウエア/技術である。Sun Javaプラグインは,マルチプラットフォーム(Solaris/Windows/Linux)であり,さまざまなブラウザ(Internet Explorer/Mozilla Firefox/Operaなど)で利用されている。
このSun Javaプラグインにセキュリティ・ホールが見つかった。あるJavaScriptを読み込ませれば,Javaのセキュリティ制限を回避できてしまうセキュリティ・ホールである。このため,例えば,細工が施されたWebページをブラウザで閲覧するだけで,本来は実行されないような任意のプログラム(Javaアプレット)をパソコン上で実行させられる。その結果,事実上パソコンを乗っ取られる可能性もある。
危険なセキュリティ・ホールである。加えて,Javaプラグインはさまざまなプラットフォーム/ブラウザで利用されているので影響範囲は広い。Sun Javaプラグインのユーザーはできるだけ早急に対応したい。
対策は,セキュリティ・ホールを修正したプラグインを含むJ2SE SDK/JRE 1.4.2_06あるいはJ2SE SDK/JRE 1.3.1_13にバージョンアップすること。同社のダウンロード・ページから入手できる。
◎参考資料
◆Security Vulnerability With Java Plug-in in JRE/SDK(米Sun Microsystems)
◆Download Java 2 Platform, Standard Edition, v 1.4.2 (J2SE)
◆Download J2SE v 1.3.1_13
◆CAN-2004-1029 (under review)
◆Sun Java Plugin arbitrary package access vulnerability(Bugtraq)
◆Sun Java Plugin Arbitrary Package Access Vulnerability(米iDEFENSE)
◆Sun Java Plug-in Sandbox Security Bypass Vulnerability(デンマークSecunia)
(勝村 幸博=IT Pro)
