公開日:2012/08/28 最終更新日:2015/10/21

JVNTA12-240A
Oracle Java 7 に脆弱性
緊急

概要

Oracle が提供する Java 7 には、任意の OS コマンドが実行可能な脆弱性が存在します。

影響を受けるシステム

以下の製品を含む、全ての Java Platform Standard Edition 7 (1.7, 1.7.0) を使用しているウェブブラウザ等のシステム

  • Java SE Development Kit (JDK 7) Update 6 およびそれ以前
  • Java SE Runtime Environment (JRE 7) Update 6 およびそれ以前

詳細情報

Oracle が提供する Java 7 には、Java のサンドボックスを回避され、任意の OS コマンドが実行可能な脆弱性が存在します。

なお、本脆弱性を使用した攻撃コードが公開されており、攻撃も観測されています。

想定される影響

細工された Java アプレットが埋め込まれたウェブページを開くことで、任意の OS コマンドが実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • ウェブブラウザの Java プラグインを無効にする

参考情報

  1. US-CERT Vulnerability Note VU#636312
    Oracle Java JRE 1.7 allows untrusted code to set arbitrary Security Manager permissions
  2. Apple
    Support - Safari で Java Web プラグインを無効にする方法
  3. Mozilla
    Firefox ヘルプ - Java アプレットを無効にするには
  4. Google
    Chrome のヘルプ - プラグイン
  5. Microsoft
    How to disable the Java web plug-in in Internet Explorer

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2012.08.28における脆弱性分析結果  緊急

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 専門知識や運がなくとも攻撃可能

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory US-CERT Alert (TA12-240A)
Oracle Java 7 Security Manager Bypass Vulnerability
CPNI Advisory
TRnotes
CVE CVE-2012-4681
JVN iPedia

更新履歴

2012/08/28
CVE 番号を修正しました。
2012/08/30
ベンダ情報に富士通のリンクを追加しました。
2012/08/31
影響を受けるシステム、対策方法、ベンダ情報、参考情報を更新しました。
2015/10/21
ベンダ情報を更新しました