HOME情報セキュリティ情報セキュリティ対策脆弱性対策脆弱性関連情報の取扱い:「Java Web Start」におけるセキュリティ上の弱点(脆弱性)の注意喚起について

本文を印刷する

情報セキュリティ

脆弱性関連情報の取扱い:「Java Web Start」におけるセキュリティ上の弱点(脆弱性)の注意喚起について

最終更新日 2007年11月26日

独立行政法人 情報処理推進機構
セキュリティセンター

 独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原武平太)は、「Java Web Start」におけるセキュリティ上の弱点(脆弱性)に関する注意喚起を2007年5月8日に公表しました。
 具体的には、ウェブブラウザ上で悪意あるリンクをクリックした場合などに、リモートから任意のコードを送り込まれ、実行されるというものです。悪用されると、利用者のコンピュータ内の情報が漏えいしたり、改ざんされたりする可能性があります。
 対策方法は「ベンダが提供する対策済みバージョンに更新する」ことです。

1.概要

 一般に、インターネット利用者がウェブブラウザ上などでJavaアプリケーションを動作させる場合、Javaアプリケーションの実行環境を提供するソフトウェアが必要となります。そのようなソフトウェアの一つとして、サン・マイクロシステムズ社が配布しているJRE (Java Runtime Environment) があります。

 Java Web Startは、JREなどに同梱されているソフトウェアです。JREをインストールした場合や、JDK (Java Development Kit) などの JRE を含むソフトウェアをインストールした場合、同時にインストールされます。

 Java Web Startの機能により、ウェブブラウザ上などからJavaアプリケーションを起動できるようになります。このときJavaアプリケーションは、利用者のコンピュータ内の情報を読み書きすることができない、いわゆるサンドボックス機構の中で動作します。これにより、もしJavaアプリケーションに悪意あるコードが含まれていた場合でも、利用者のコンピュータは保護されます。

 しかし、Java Web Startの実装に問題があるため、本来実行が許可されていないシステムクラス(*1)が実行される可能性があります。システムクラスは、サンドボックスの制限を受けないため、本問題により悪意あるコードが利用者のコンピュータで実行される可能性があります。悪用されると、利用者のコンピュータ内の情報が漏えいしたり、改ざんされたりする可能性があります。

最新情報は、次のURLを参照して下さい。
http://jvndb.jvn.jp/contents/ja/2007/JVNDB-2007-000329.html

-

2.セキュリティ上の弱点の影響

 利用者のコンピュータで、悪意あるコードが実行される可能性があります。その結果、利用者のコンピュータ内の情報が漏えいしたり、改ざんされたりする可能性があります。

3.対策方法

 対策方法は「ベンダが提供する対策済みバージョンに更新する」ことです。

 なお、JREをバージョンが異なるものに更新した場合、一部のJavaアプリケーションの動作に支障をきたす場合があります。各Javaアプリケーションの動作環境を確認の上、対策を行ってください。

3.1 対策済みバージョン(update版)に更新する方法

 JVN脆弱性対策情報「JVN#44724673 Java Web Start において許可されていないシステムクラスが実行される脆弱性」のベンダー情報欄を参照下さい。

 要約すると、次のサン・マイクロシステムズ社ページに記載された「2. Contributing Factors」の方法で影響を受けるシステムか否かを判断し、「5. Resolution」の方法で対策済みバージョン(update版)に更新して下さい。
Sun Alert #102881 Security Vulnerability With Java Web Start Related to Incorrect Use of System Classes

 更新後、古いバージョンのJREがあるかを確認し、古いバージョンのJREがあれば削除して下さい。古いバージョンの削除要否については、表1を参照して下さい。

表1.対策済みバージョン導入後の古いバージョンの削除要否

導入した対策済みバージョン 古いバージョンの削除要否
(1)JRE 5.0 最新版のみ 不要
(2)JRE 1.4.2 最新版のみ
(3)JRE 1.4.2 最新版と JRE 5.0 最新版の両方 不要
(4)JRE 1.4.2 最新版と JRE 6 最新版の両方 不要

 本注意喚起は、JREに同梱されている「Java Web Start」の脆弱性に関するものですが、JREは2007年7月25日時点で、本件とは別の新たな脆弱性が修正されています。JRE 5.0 またはJRE 6 の最新版を導入していない場合は古いバージョンの削除が必要です。

例1)Windowsで JRE 5.0 Update 10 およびそれ以前を使用している場合

 次のサン・マイクロシステムズ社ページより、update版をダウンロードしてインストールします。
http://java.sun.com/j2se/1.5.0/download.jsp

  1. Java Runtime Environment (JRE) 5.0 Update 12 の「Download」ボタンをクリック。
  2. Accept License Agreement のラジオボタンをクリック。
  3. Windows Platform - Java Runtime Environment 5.0 Update 12 の下にある、Windows Offline Installation, Multi-language をクリック後、指示に従いインストールする。
例2)Windowsで JRE 1.4.2 Update 13 およびそれ以前を使用している場合

 次のサン・マイクロシステムズ社ページより、update版をダウンロードしてインストールします。インストール後、古いバージョンのJREがあれば削除します。
http://java.sun.com/j2se/1.4.2/download.html

  1. J2SE v 1.4.2_15 JRE includes the JVM technology の「Download J2SE JRE」をクリック。
  2. Accept License Agreement のラジオボタンをクリック。
  3. Windows Platform - Java(TM) 2 Runtime Environment, Standard Edition 1.4.2_15の下にある、Windows Offline Installation, Multi-language をクリック後、指示に従いインストールする。
  4. コントロールパネルの「プログラムの追加と削除」を開き、1.4.2_15より古いJREがあるか確認する。
  5. 1.4.2_15より古いJREがあれば「プログラムの追加と削除」から削除する。

3.2 WindowsでJava Update を利用して更新する方法

次のサン・マイクロシステムズ社ページ「Java Update とは何ですか」を参照し、更新して下さい。
http://www.java.com/ja/download/help/5000020700.xml

 なお、この方法では、JREが最新のバージョンに更新されます(2007/7/25現在、JRE バージョン6)。使用中のJREをバージョンが異なるものに更新した場合、一部のJavaアプリケーションの動作に支障をきたす場合があります。その場合は、3.1の方法で更新を行ってください。

『脚注』
(*1)システムクラス
Javaにおいて、JREに同梱されているクラス。システムクラスは、信用することのできないプログラムを、安全に実行するためのセキュリティモデルであるサンドボックスの制限を受けずに動作することができる。

付録A.「情報セキュリティ早期警戒パートナーシップ」について

(脆弱性関連情報取扱いの枠組み)

 ソフトウェア製品開発者及びウェブサイト運営者による脆弱性対策を促進し、コンピュータウイルスやコンピュータ不正アクセス等によって、不特定多数のコンピュータ(パソコン)に対して引き起こされる被害を予防するため、経済産業省の告示に基づき、官民の連携体制「情報セキュリティ早期警戒パートナーシップ」を整備し運用しています(図A-1参照)。

 最新の届出状況は、「脆弱性関連情報に関する届出状況(プレスリリース)」を参照下さい。

-
図A-1.「情報セキュリティ早期警戒パートナーシップ」の基本枠組み

お問い合わせ先

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail:電話番号:03-5978-7501までお問い合わせください。

更新履歴

2007年11月26日 最新情報のURLを、JVN iPediaへのリンクに修正しました。
2007年 7月25日 JREの古いバージョンの削除要否を追記しました。
2007年 7月10日 JREのupdate版の更新に対応しました。
2007年 5月10日 3章に、更新する方法を追記しました。
2007年 5月 8日 掲載