JVNDB-2013-001785

Oracle Java SE および JavaFX の Java Runtime Environment におけるヒープベースのバッファオーバーフローの脆弱性

Oracle Java SE および JavaFX の Java Runtime Environment (JRE) には、JavaFX に関する処理に不備があるため、ヒープベースのバッファオーバーフローの脆弱性が存在します。

本脆弱性は、CanSecWest 2013 の Pwn2Own コンペティションにおいて実証されました。

オラクル

• JavaFX 2.2.7 およびそれ以前
• JDK 7 Update 17 およびそれ以前
• JRE 7 Update 17 およびそれ以前

第三者により、任意のコードを実行される可能性があります。

ベンダ情報および参考情報を参照して適切な対策を実施してください。

オラクル

• Oracle : Oracle and Java
• Oracle Critical Patch Update : Oracle Java SE Critical Patch Update Advisory - April 2013
• Oracle Critical Patch Update : Text Form of Oracle Java SE Critical Patch Update - April 2013 Risk Matrices
• SECURITY BLOG : April 2013 Critical Patch Update for Java SE Released 

ターボリナックス

• Turbolinux Security Advisory : TLSA-2013-2

レッドハット

• Red Hat Security Advisory : RHSA-2013:0757

富士通

• 富士通 セキュリティ情報 : Oracle Corporation Javaプラグインの脆弱性に関するお知らせ

1. バッファエラー(CWE-119) [NVD評価]

1. CVE-2013-0402

1. JVN : JVNTA13-107A
2. National Vulnerability Database (NVD) : CVE-2013-0402
3. IPA 重要なセキュリティ情報 : Oracle Java の脆弱性対策について(CVE-2013-2383等)
4. JPCERT 注意喚起 : JPCERT-AT-2013-0021
5. US-CERT Technical Cyber Security Alert : TA13-107A
6. 関連文書 : Pwn2Own 2013
7. 関連文書 : Pwn2Own: Down go all the browsers - ZDNet

• [2013年03月11日]
    掲載
  [2013年03月12日]
    概要：内容を更新
  [2013年04月22日]
    タイトル：内容を更新
    概要：内容を更新
    影響を受けるシステム：オラクル (Oracle Java SE Critical Patch Update Advisory - April 2013) の情報を更新
    ベンダ情報：オラクル (Oracle Java SE Critical Patch Update Advisory - April 2013) を追加
    ベンダ情報：オラクル (Text Form of Oracle Java SE Critical Patch Update - April 2013 Risk Matrices) を追加
    ベンダ情報：オラクル (April 2013 Critical Patch Update for Java SE Released) を追加
    ベンダ情報：富士通 (Oracle Corporation Javaプラグインの脆弱性に関するお知らせ) を追加
  [2013年06月12日]
    ベンダ情報：レッドハット (RHSA-2013:0757) を追加
  [2013年08月12日]
    ベンダ情報：ターボリナックス (TLSA-2013-2) を追加