公開日:2013/01/11 最終更新日:2013/03/12

JVNTA13-010A
Oracle Java 7 に脆弱性
緊急

概要

Oracle が提供する Java 7 には、任意のコードが実行可能な脆弱性が存在します。

影響を受けるシステム

以下の製品を含む、全ての Java Platform Standard Edition 7 (1.7, 1.7.0) を使用しているウェブブラウザ等のシステム

  • Java Platform Standard Edition 7 (Java SE 7)
  • Java SE Development Kit (JDK 7)
  • Java SE Runtime Environment (JRE 7)
  • OpenJDK 7 および 7u
  • IcedTea 2.x (IcedTea7 2.x)

詳細情報

Oracle が提供する Java 7 には、Java のサンドボックスを回避され、任意のコードが実行可能な脆弱性が存在します。

なお、本脆弱性を使用した攻撃コードが公開されており、攻撃も観測されています。

想定される影響

細工された Java アプレットが埋め込まれたウェブページや、Java Network Launching Protocol (JNLP) ファイルを開くことで、任意のコードが実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

開発者が公表している Oracle Security Alert CVE-2013-0422 には、Java 7 Update 11 (7u11) において、本脆弱性 (CVE-2013-0422) および脅威の高い別の脆弱性 (CVE-2012-3174) が修正されている、と記載されています。

一方、Immunity 社は、2013年1月14日のブログ記事 Confirmed: Java only fixed one of the two bugs. で、Java 7 Update 11 は CVE-2013-0422 のうち、Reflection API に関する脆弱性のみを修正し、JmxMBeanServer Class に関する脆弱性の修正は不完全である、と述べています。


IcedTea では、本脆弱性の修正は IcedTea 2.1.4, 2.2.4, 2.3.4 で行われています。


ウェブブラウザ上で Java を実行する必要がないユーザは、最新版へアップデートした上で以下の回避策をとることが推奨されます。

ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
また、本ワークアラウンドは、今後新たに Java の脆弱性が発見された場合においても、脆弱性の影響を軽減できる可能性があります。

  • ウェブブラウザの Java プラグインを無効にする

参考情報

  1. US-CERT Vulnerability Note VU#625617
    Java 7 fails to restrict access to privileged code
  2. Apple
    Support - Safari で Java Web プラグインを無効にする方法
  3. Mozilla
    Firefox ヘルプ - Java アプレットを無効にするには
  4. Google
    Chrome のヘルプ - プラグイン
  5. Microsoft
    Internet Explorer で Java Web プラグインを無効にする方法

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2013.01.11における脆弱性分析結果  緊急

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 専門知識や運がなくとも攻撃可能

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2013-0004
Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
JPCERT REPORT
CERT Advisory US-CERT Alert (TA13-010A)
Oracle Java 7 Security Manager Bypass Vulnerability
CPNI Advisory
TRnotes
CVE CVE-2013-0422
JVN iPedia

更新履歴

2013/01/15
対策方法、ベンダ情報、関連文書を更新しました。
2013/01/18
対策方法とベンダ情報を更新しました。
2013/02/04
対策方法の記載を修正しました。
2013/03/12
影響を受けるシステム、対策方法、ベンダ情報を更新しました。