公開日:2007/08/17 最終更新日:2007/08/29

JVNVU#428207
JRE (Java Runtime Environment) のフォント解析コードに権限昇格の脆弱性

概要

JRE (Java Runtime Environment) のフォント解析コードには、権限昇格の脆弱性が存在します。

影響を受けるシステム

  • JDK 5.0 Update 9 およびそれ以前
  • JRE 5.0 Update 9 およびそれ以前
  • SDK 1.4.2_14 およびそれ以前
  • JRE 1.4.2_14 およびそれ以前

なお、本脆弱性は、JDK / JRE 6 系や SDK / JRE 1.3.1 系は、影響を受けないとのベンダ情報が公表されております。

詳細情報

JRE (Java Runtime Environment) のフォント解析コードには、権限昇格に関する脆弱性が存在します。

想定される影響

遠隔の第三者によって、ユーザのコンピュータ上のファイルを読み書きされたり、Java アプレットを実行しているユーザの権限で任意のコマンドを実行される可能性があります。

対策方法

ベンダのアップデートを適用する
ベンダの提供する情報をもとにアップデートを行なってください。

ただし、2007/08/16 現在、該当製品において最新バージョンを適用されている場合は、本脆弱性の影響は受けません。各システムの環境等にもよりますが、最新バージョンを適用されていない場合はアップデートすることを推奨します。

ベンダ情報

ベンダ リンク
Sun #103024: Vulnerability in the Java Runtime Environment Font Parsing Code may Allow anUntrusted Applet to Elevate Privileges
Bea Systems Inc. セキュリティ勧告:(BEA07-177.00)

参考情報

JPCERT/CCからの補足情報

JVNVU#138545 及び JVNVU#481921について対策済みの場合、本脆弱性の脅威はありません。

JPCERT/CCによる脆弱性分析結果

2007.08.17における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 ある程度の専門知識や運 (条件が揃う確率は高い) が必要
  • 中 - 高

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2007/08/29
ベンダ情報: Bea Systems Inc.、および、関連文書に CVE番号を追加しました。
2007/08/29
ベンダ情報: Bea Systems Inc.、および、関連文書にCVE番号を追加しました。