公開日:2013/02/04 最終更新日:2015/10/21

JVNTA13-032A
Oracle Java 7 に複数の脆弱性
緊急

概要

Oracle が提供する Java 7 には、複数の脆弱性が存在します。

影響を受けるシステム

以下の製品を含む、全ての Java Platform Standard Edition 7 (1.7, 1.7.0) を使用しているウェブブラウザ等のシステム

  • Java Platform Standard Edition 7 (Java SE 7) Update 13 より前のバージョン
  • Java SE Development Kit (JDK 7) Update 13 より前のバージョン
  • Java SE Runtime Environment (JRE 7) Update 13 より前のバージョン

詳細情報

Oracle が提供する Java 7 には、Java のサンドボックスを回避され、任意のコードが実行可能な脆弱性が存在します。

なお、本脆弱性を使用した攻撃が観測されています。

想定される影響

細工された Java アプレットが埋め込まれたウェブページや、Java Network Launching Protocol (JNLP) ファイルを開くことで、任意のコードが実行される可能性があります。
Java サーバアプリケーションの場合、細工されたファイルを処理することで、任意のコードが実行される可能性があります。

また、スタンドアロンの Java アプリケーションも、本脆弱性の影響を受ける可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • ウェブブラウザの Java プラグインを無効にする

ベンダ情報

ベンダ リンク
Oracle Oracle Java SE Critical Patch Update Advisory - February 2013
Java SE Downloads
Setting the Security Level of the Java Client - Disabling Java in the Browser
富士通 TA13-032Aに対する富士通の情報

参考情報

  1. US-CERT Vulnerability Note VU#858729
    Java 7 contains multiple vulnerabilities
  2. Apple
    Support - Safari で Java Web プラグインを無効にする方法
  3. Mozilla
    Firefox ヘルプ - Java アプレットを無効にするには
  4. Google
    Chrome のヘルプ - プラグイン
  5. Microsoft
    Internet Explorer で Java Web プラグインを無効にする方法

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory US-CERT Alert (TA13-032A)
Oracle Java 7 Multiple Vulnerabilities
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2013/02/14
ベンダ情報に富士通のリンクを追加しました。
2015/10/21
ベンダ情報を更新しました