情報処理推進機構：プレス発表：記事：「Java Web Start」における3件のセキュリティ上の弱点（脆弱性）の注意喚起

プレス発表

「Java Web Start」における3件のセキュリティ上の弱点（脆弱性）の注意喚起

2011年6月10日
独立行政法人情報処理推進機構

　IPA（独立行政法人情報処理推進機構、理事長：藤江一正）は、「Java Web Start」における3件のセキュリティ上の弱点（脆弱（ぜいじゃく）性）に関する注意喚起を、2011年6月10日に公表しました。対策方法は「開発者が提供する情報をもとに、最新版へアップデートする」ことです。

1．概要

　「Java Web Start」は、Oracle社が提供する「JRE(Java Runtime Environment)」等のJava実行環境に含まれるソフトウェアです。
　「Java Web Start」には、3種類の処理（ポリシーファイルの読み込み、設定ファイルの読み込み、DLLの読み込み）において、セキュリティ上の弱点（脆弱性）が存在します。これらの弱点が悪用されると「Java Web Start」がインストールされたコンピューター上で、任意のコードが実行されてしまう可能性があります。

　最新情報は、次のURLを参照下さい。

　次のツールを利用することで、「JRE(Java Runtime Environment)」を含む、パソコンにインストールされているソフトウェア製品のバージョンが最新であるかを、簡単な操作で確認することができますので、活用ください。

MyJVNバージョンチェッカ
http://jvndb.jvn.jp/apis/myjvn/#VCCHECK
※本注意喚起に含まれる3件のセキュリティ上の弱点（脆弱性）に対応しています。

　これらの脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、以下の報告者からIPAが届出を受け、JPCERT/CC（一般社団法人JPCERTコーディネーションセンター）が製品開発者と調整を行ない、2011年6月10日に公表したものです。

報告者

：

株式会社富士通研究所兒島尚氏

2010年9月10日届出

2．脆弱性による影響

　ファイルサーバーなどの共有フォルダに誘導されたユーザーが、そのフォルダ内のJava Web Start アプリケーションを開いた場合に、コンピューター上でユーザの意図しないプログラムの実行や、ファイルの削除、ウイルスやボットなどの悪意あるツールのインストールが行われてしまう可能性があります。

脆弱性による影響の画像

3．対策方法

　対策方法は「開発者が提供する情報をもとに、最新版へアップデートする」ことです。

4.本脆弱性の深刻度

(1)評価結果

本脆弱性の深刻度	□ I（注意）	■ II（警告）	□ III（危険）
本脆弱性のCVSS基本値		6.8

(2)CVSS基本値の評価内容

AV：攻撃元区分	□ ローカル	□ 隣接	■ ネットワーク
AC：攻撃条件の複雑さ	□ 高	■ 中	□ 低
Au：攻撃前の認証要否	□ 複数	□ 単一	■ 不要
C：機密性への影響　（情報漏えいの可能性）	□ なし	■ 部分的	□ 全面的
I：完全性への影響　（情報改ざんの可能性）	□ なし	■ 部分的	□ 全面的
A：可用性への影響　（業務停止の可能性）	□ なし	■ 部分的	□ 全面的

注）■：選択した評価結果
AV:AccessVector, AC:AccessComplexity, Au:Authentication,
C:ConfidentialityImpact, I:IntegrityImpact, A:AvailabilityImpact

5.本脆弱性のCWE分類

　本脆弱性のCWE分類は、「その他（CWE-Other）」です。

6.参考情報

(1)「情報セキュリティ早期警戒パートナーシップ」について

　ソフトウェア製品及びウェブサイトの脆弱性対策を促進し、コンピューターウイルスやコンピューター不正アクセス等によって、不特定多数のコンピューター(パソコン）に対して引き起こされる被害を予防するため、経済産業省の告示に基づき、官民の連携体制「情報セキュリティ早期警戒パートナーシップ」を整備し運用しています（図6-1参照）。

最新の届出状況は「脆弱性関連情報に関する届出状況（プレスリリース）」を参照下さい。