japan.internet.comThe Internet & IT Network
Twitter
RSS
  • ニュース
  • コラム
  • リサーチ
  • ヘッドライン
  • 特集
  • ブログ
  • プレスリリース
  • 専門チャンネル
  • イベント
  • ランキング
  • ニュースメール
2009年11月22日
文字サイズ文字サイズ小文字サイズ中文字サイズ大
事業仕分けによる次世代スーパーコンピューターの開発予算削減について、どうお考えですか?
賛成
反対
どちらとも言えない
投票締切 11/30 12:00
Webテクノロジー2007年1月19日 10:40

Sun、『Java Runtime Environment』の重大な脆弱性を修正

海外海外internet.com発の記事
  • Post to Twitter
  • Post to Facebook
  • このエントリーを含むはてなブックマーク
  • この記事をクリップ!
  • Buzzurlにブックマーク
  • Yahoo!ブックマークに登録
  • newsing it!
  • この記事をokyuuへインポート
Sun Microsystems は16日、同社の『Java Runtime Environment』(JRE) に存在した脆弱性の修正を正式に発表した。Sun が初めて問題の脆弱性について通知を受けたのは半年前だが、その存在は今回の発表まで公にならなかった。

同脆弱性の危険度については、セキュリティ会社 Secunia勧告の中で、5段階中上から2番目と高めの評価を付けている。

Sun のセキュリティ勧告「Sun ALERT 102760」によると、問題の脆弱性は JRE の GIF 画像処理コードに存在し、信頼できないアプレットの権限を昇格させる恐れがあるという。

同脆弱性は、JRE が GIF 画像を処理する上で、バッファ オーバーフローが発生することに起因する。

Sun の発表したセキュリティ勧告には、「具体例を示すと、信頼できないアプレットを実行中のユーザー権限により、ローカルファイルの読み書きを行なったり、ローカルアプリケーションを実行する許可を、そのアプレットが自分自身に与える可能性がある」との説明がある。

Sun によると問題の脆弱性は、『Windows』『Solaris』および『Linux』で稼動する JRE の各バージョンに存在するという。具体的には、『Sun Java JDK and JRE 5.0 Update 9』とそれ以前のバージョン、1.4系列では『Sun Java SDK and JRE 1.4.2_12』とそれ以前のバージョン、1.3系列では『Sun Java SDK and JRE 1.3.1_18』とそれ以前のバージョンがセキュリティ更新の対象だ。

同脆弱性の最も深刻な点はおそらく、上述した形で攻撃を受けても特別な徴候が何もなく、ユーザーが気付く手がかりがない点だという。ただし、今回の脆弱性を Sun に通知したネットワーク機器メーカー 3ComTipping Point 部門は、自ら公開した勧告の中で、問題の脆弱性を突いた攻撃が成立するには、悪意ある Web サイトを訪問する形で、攻撃対象になったユーザーによる操作が必要になると述べた。

Tipping Point は、2006年6月に問題の脆弱性を Sun に通知した。これまでのところ分かっている範囲内では、問題の脆弱性を悪用した事例が発生しているとの報告はない。

Sun と Tipping Point は調整の上、脆弱性を修正したバージョンのリリース準備が整うまで情報を公表せず、16日に足並みを揃えて情報開示を行なった。

脆弱性の影響を受けるバージョンについては、すべて Sun が修正版をリリース済みだ。

関連テーマ
  • プリンター用
  • 記事を転送
  • Post to Twitter
  • Post to Facebook
  • このエントリーを含むはてなブックマーク
  • この記事をクリップ!
  • BuzzurlにブックマークBuzzurlにブックマーク
  • Yahoo!ブックマークに登録
  • newsing it!
  • この記事をokyuuへインポート
最新トップニュース
Graphic Design Forum
【Graphic Design Forum】
流動的媒体と静的媒体に関する見解(11月18日)
「IT の耳」
「IT の耳」
【書評】『Hyper-V スタートアップバイブル』――仮想化についてのすぐれた解説書(11月20日)
百式のネットビジネス研究
百式のネットビジネス研究
世界でもっともパワフルな iPod のスピーカー「Wall of Sound」(11月20日)
週刊-サイト別アクセス状況データ
週刊-サイト別アクセス状況データ
ビデオリサーチインタラクティブ調査(月間インターネットオーディエンスデータ)(11月19日)
海外ソーシャルウェブに学ぶ成功の秘訣
海外ソーシャルウェブに学ぶ成功の秘訣
ゲーム業界を襲う世界的な激震。ソーシャルゲーム急成長のインパクト(11月19日)
今さら聞けない初歩からのアクセス解析
今さら聞けない初歩からのアクセス解析
サイトリニューアル前のアクセス解析活用法(11月19日)
成約率、反応率を上げる Web 文章術
成約率、反応率を上げる Web 文章術
文章力を磨き、キャッシュを生み出す Web サイト に(11月19日)
「Webからの脅威」―その傾向と最新対策
「Webからの脅威」―その傾向と最新対策
新たな対策技術:スパムフィルタリングと E-mail レピュテーション(11月18日)
ROI向上のための戦略的WebPR
ROI向上のための戦略的WebPR
「戦略的 WebPR」のしかけ方〜WebPR の効果測定手法とは〜(11月18日)
スマートにソーシャルウェブを構築しよう
スマートにソーシャルウェブを構築しよう
社員力を生かすソーシャルメディアポリシー(11月17日)
DevX
DevX
Erlangを使った並列処理プログラムの作成(11月17日)
Copyright 2009 Japan Internet.com K.K. All Rights Reserved.http://www.internet.com/