【活用ガイド】

JVNDB-2013-001027

Oracle Java 7 に脆弱性

概要

Oracle が提供する Java 7 には、任意のコードが実行可能な脆弱性が存在します。

Oracle が提供する Java 7 には、Java のサンドボックスを回避され、任意のコードが実行可能な脆弱性が存在します。

なお、本脆弱性を使用した攻撃コードが公開されており、攻撃も観測されています。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 10.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム

以下の製品を含む、全ての Java Platform Standard Edition (Java SE) 7 (1.7, 1.7.0) を使用しているウェブブラウザ等のシステム

オラクル
  • JDK 7 Update 10 およびそれ以前
  • JRE 7 Update 10 およびそれ以前

想定される影響

細工された Java アプレットが埋め込まれたウェブページや、Java Network Launching Protocol (JNLP) ファイルを開くことで、任意のコードが実行される可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。

開発者が公表している Oracle Security Alert CVE-2013-0422 (※1) には、Java 7 Update 11 (7u11) において、本脆弱性 (CVE-2013-0422) および脅威の高い別の脆弱性 (CVE-2012-3174) が修正されている、と記載されています。

※1:http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html

一方、Immunity 社は、2013年1月14日のブログ記事 Confirmed: Java only fixed one of the two bugs. (※2) で、Java 7 Update 11 は CVE-2013-0422 のうち、Reflection API に関する脆弱性のみを修正し、JmxMBeanServer Class に関する脆弱性の修正は不完全である、と述べています。

※2:http://immunityproducts.blogspot.ca/2013/01/confirmed-java-only-fixed-one-of-two.html

ウェブブラウザ上で Java を実行する必要がないユーザは、最新版へアップデートした上で以下の回避策をとることが推奨されます。

[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
また、本ワークアラウンドは、今後新たに Java の脆弱性が発見された場合においても、脆弱性の影響を軽減できる可能性があります。

  * ウェブブラウザの Java プラグインを無効にする
ベンダ情報

Canonical Google IBM Mozilla Foundation openSUSE project アップル オラクル マイクロソフト レッドハット 富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 認可・権限・アクセス制御(CWE-264) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2013-0422
参考情報

  1. JVN : JVNTA13-010A
  2. National Vulnerability Database (NVD) : CVE-2013-0422
  3. JPCERT 注意喚起 : JPCERT-AT-2013-0004
  4. US-CERT Cyber Security Alerts : TA13-141A
  5. US-CERT Vulnerability Note : VU#625617
  6. US-CERT Technical Cyber Security Alert : TA13-010A
  7. 関連文書 : MGASA-2013-0018
更新履歴

  • [2013年01月11日]
      掲載
    [2013年01月15日]
      影響を受けるシステム:オラクル (Oracle Security Alert for CVE-2013-0422) の情報を更新
      ベンダ情報:オラクル (Oracle Security Alert for CVE-2013-0422) を更新
      ベンダ情報:オラクル (JDK 7u11 Release Notes) を更新
      対策:内容を更新
      CWE による脆弱性タイプ一覧:CWE-ID を追加
    [2013年01月17日]
      ベンダ情報:富士通 (Oracle Corporation Javaプラグインの脆弱性に関するお知らせ) を追加
      ベンダ情報:富士通 (Java SE 7 の脆弱性問題(CVE-2013-0422)対応について) を追加
      ベンダ情報:富士通 (TA13-010A) を追加
    [2013年01月28日]
      ベンダ情報:オラクル (Java SE Downloads) を更新
      対策:内容を更新
    [2013年02月07日]
      ベンダ情報:レッドハット (RHSA-2013:0156) を追加
      ベンダ情報:Ubuntu (USN-1693-1) を追加
    [2013年02月13日]
      対策:内容を更新
    [2013年02月21日]
      ベンダ情報:openSUSE (openSUSE-SU-2013:0199) を追加
      ベンダ情報:レッドハット (RHSA-2013:0165) を追加
    [2013年05月27日]
      ベンダ情報:富士通 (TA13-141A) を追加
    [2013年06月30日]
      ベンダ情報:IBM (1622884) を追加
    [2014年08月25日]
      参考情報:関連文書 (MGASA-2013-0018) を追加