公開日:2013/03/06 最終更新日:2015/10/21

JVNTA13-064A
Oracle Java に複数の脆弱性
緊急

概要

Oracle Java には、複数の脆弱性が存在します。

影響を受けるシステム

以下の製品を含む、Oracle Java を使用しているウェブブラウザ等のシステム

  • Java Platform Standard Edition 7 (Java SE 7)
  • Java Platform Standard Edition 6 (Java SE 6)
  • Java Platform Standard Edition 5 (Java SE 5)
  • Java SE Development Kit 7 (JDK 7)
  • Java SE Development Kit 6 (JDK 6)
  • Java SE Development Kit 5 (JDK 5)
  • Java SE Runtime Environment 7 (JRE 7)
  • Java SE Runtime Environment 6 (JRE 6)
  • Java SE Runtime Environment 5 (JRE 5)
  • OpenJDK 6 および 6u
  • IcedTea 1.x (IcedTea6 1.x)

詳細情報

Oracle Java には、Java のサンドボックスを回避され、任意のコードが実行可能な脆弱性が存在します。

なお、本脆弱性を使用した攻撃コードが公開されており、攻撃も観測されています。

想定される影響

細工された Java アプレットが埋め込まれたウェブページや、Java Network Launching Protocol (JNLP) ファイルを開くことで、任意のコードが実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

開発者が公表している Oracle Security Alert for CVE-2013-1493 には、Java 7 Update 17 (7u17) および Java 6 Update 43 において、本脆弱性 (CVE-2013-1493) とともに、および脅威の高い別の脆弱性 (CVE-2013-0809) が修正されている、と記載されています。

ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
また、本ワークアラウンドは、今後新たに Java の脆弱性が発見された場合においても、脆弱性の影響を軽減できる可能性があります。

  • ウェブブラウザの Java プラグインを無効にする

参考情報

  1. CERT/CC Vulnerability Note VU#688246
    Java contains multiple vulnerabilities
  2. IPA
    Oracle Java の脆弱性対策について(CVE-2013-1493)
  3. Apple
    Support - Safari で Java Web プラグインを無効にする方法
  4. Google
    Chrome のヘルプ - プラグイン
  5. Microsoft
    Internet Explorer で Java Web プラグインを無効にする方法
  6. Mozilla
    Firefox ヘルプ - Java アプレットを無効にするには

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2013.03.06における脆弱性分析結果  緊急

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 専門知識や運がなくとも攻撃可能

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2013-0014
2013年3月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
JPCERT REPORT
CERT Advisory US-CERT Alert (TA13-064A)
Oracle Java Contains Multiple Vulnerabilities
CPNI Advisory
TRnotes
CVE CVE-2013-1493
JVN iPedia

更新履歴

2013/03/07
ベンダ情報に富士通のリンクを追加しました。
2015/10/21
ベンダ情報を更新しました