JVNDB-2013-001027

Oracle Java 7 に脆弱性

Oracle が提供する Java 7 には、任意のコードが実行可能な脆弱性が存在します。

Oracle が提供する Java 7 には、Java のサンドボックスを回避され、任意のコードが実行可能な脆弱性が存在します。

なお、本脆弱性を使用した攻撃コードが公開されており、攻撃も観測されています。

以下の製品を含む、全ての Java Platform Standard Edition (Java SE) 7 (1.7, 1.7.0) を使用しているウェブブラウザ等のシステム

オラクル

• JDK 7 Update 10 およびそれ以前
• JRE 7 Update 10 およびそれ以前

細工された Java アプレットが埋め込まれたウェブページや、Java Network Launching Protocol (JNLP) ファイルを開くことで、任意のコードが実行される可能性があります。

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。

開発者が公表している Oracle Security Alert CVE-2013-0422 (※1) には、Java 7 Update 11 (7u11) において、本脆弱性 (CVE-2013-0422) および脅威の高い別の脆弱性 (CVE-2012-3174) が修正されている、と記載されています。

※1：http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html

一方、Immunity 社は、2013年1月14日のブログ記事 Confirmed: Java only fixed one of the two bugs. (※2) で、Java 7 Update 11 は CVE-2013-0422 のうち、Reflection API に関する脆弱性のみを修正し、JmxMBeanServer Class に関する脆弱性の修正は不完全である、と述べています。

※2：http://immunityproducts.blogspot.ca/2013/01/confirmed-java-only-fixed-one-of-two.html

ウェブブラウザ上で Java を実行する必要がないユーザは、最新版へアップデートした上で以下の回避策をとることが推奨されます。

[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
また、本ワークアラウンドは、今後新たに Java の脆弱性が発見された場合においても、脆弱性の影響を軽減できる可能性があります。

　　* ウェブブラウザの Java プラグインを無効にする

Canonical

• Ubuntu Security Notice : USN-1693-1

Google

• Google Chrome : Chrome のヘルプ - プラグイン

IBM

• IBM Support Document : 1622884

Mozilla Foundation

• Mozilla support : Firefox ヘルプ - Java アプレットを無効にするには

openSUSE project

• opensuse-security-announce : openSUSE-SU-2013:0199

アップル

• アップル : Safari で Java Web プラグインを無効にする方法

オラクル

• Java SE Documentation : Setting the Security Level of the Java Client - Disabling Java in the Browser
• Oracle Critical Patch Update : Oracle Security Alert for CVE-2013-0422
• Oracle Technology Network : JDK 7u11 Release Notes
• Oracle Technology Network : Java SE Downloads

マイクロソフト

• Microsoft Support : Internet Explorer で Java Web プラグインを無効にする方法

レッドハット

• Red Hat Security Advisory : RHSA-2013:0156
• Red Hat Security Advisory : RHSA-2013:0165

富士通

• 富士通 セキュリティ情報 : Oracle Corporation Javaプラグインの脆弱性に関するお知らせ
• 富士通 セキュリティ情報 : Java SE 7 の脆弱性問題（CVE-2013-0422）対応について
• 富士通 セキュリティ情報 : TA13-010A
• 富士通 セキュリティ情報 : TA13-141A

1. 認可・権限・アクセス制御(CWE-264) [NVD評価]

1. CVE-2013-0422

1. JVN : JVNTA13-010A
2. National Vulnerability Database (NVD) : CVE-2013-0422
3. JPCERT 注意喚起 : JPCERT-AT-2013-0004
4. US-CERT Cyber Security Alerts : TA13-141A
5. US-CERT Vulnerability Note : VU#625617
6. US-CERT Technical Cyber Security Alert : TA13-010A
7. 関連文書 : MGASA-2013-0018

• [2013年01月11日]
    掲載
  [2013年01月15日]
    影響を受けるシステム：オラクル (Oracle Security Alert for CVE-2013-0422) の情報を更新
    ベンダ情報：オラクル (Oracle Security Alert for CVE-2013-0422) を更新
    ベンダ情報：オラクル (JDK 7u11 Release Notes) を更新
    対策：内容を更新
    CWE による脆弱性タイプ一覧：CWE-ID を追加
  [2013年01月17日]
    ベンダ情報：富士通 (Oracle Corporation Javaプラグインの脆弱性に関するお知らせ) を追加
    ベンダ情報：富士通 (Java SE 7 の脆弱性問題（CVE-2013-0422）対応について) を追加
    ベンダ情報：富士通 (TA13-010A) を追加
  [2013年01月28日]
    ベンダ情報：オラクル (Java SE Downloads) を更新
    対策：内容を更新
  [2013年02月07日]
    ベンダ情報：レッドハット (RHSA-2013:0156) を追加
    ベンダ情報：Ubuntu (USN-1693-1) を追加
  [2013年02月13日]
    対策：内容を更新
  [2013年02月21日]
    ベンダ情報：openSUSE (openSUSE-SU-2013:0199) を追加
    ベンダ情報：レッドハット (RHSA-2013:0165) を追加
  [2013年05月27日]
    ベンダ情報：富士通 (TA13-141A) を追加
  [2013年06月30日]
    ベンダ情報：IBM (1622884) を追加
  [2014年08月25日]
    参考情報：関連文書 (MGASA-2013-0018) を追加