Javaに危険度「高」のぜい弱性，アプレットからファイルの書き込みや実行が可能に

　デンマークのSecuniaが現地時間11月29日に，米Sun MicrosystemsのJava開発キット「Java Development Kit（JDK）」，Java実行環境「Java Runtime Environment（JRE）」，Javaソフトウエア開発キット「Java Software Development Kit（SDK）」において，システムへの不正なリモート・アクセスを見逃すぜい弱性が複数存在すると警告した。Secunia社は危険度を「高」としている。

　Secunia社によると，ぜい弱性が存在するバージョンは以下の通り。

・Sun Java JDK 1.5.x
・Sun Java JRE 1.3.x
・Sun Java JRE 1.4.x
・Sun Java JRE 1.5.x／5.x
・Sun Java SDK 1.3.x
・Sun Java SDK 1.4.x

　このぜい弱性を悪用すると，アプレットを使ってローカル環境にあるファイルを読み書きしたり，ローカル環境にあるアプリケーションを実行したりできる。大きく分けて3種類あり，概要と該当バージョンは以下の通り。

・unspecified error（不明なエラー）を悪用する。Windows／Solaris／Linux用のJDK／JRE 5.0 Update 3までのバージョンに存在する

・Reflection APIのエラーを悪用するぜい弱性が3個ある。Windows／Solaris／Linux用のSDK／JRE 1.3.1_15まで，SDK／JRE 1.4.2_08まで，JDK／JRE 5.0 Update 3までのバージョンが関係する

・Java Management Extensions（JMX）内のunspecified errorを悪用する。Windows／Solaris／Linux用のJDK／JRE 5.0 Update 3までのバージョンに存在する

　既にSun社は，これらぜい弱性を修正したバージョンをWebサイトで公開している。

・JDK／JRE 5.0：
JDK／JRE 5.0 Update 4以上へのアップデートを推奨する（ダウンロード・サイト）

・SDK／JRE 1.4.x：
SDK／JRE 1.4.2_09以上へのアップデートを推奨する（ダウンロード・サイト）

・SDK／JRE 1.3.x：
SDK／JRE 1.3.1_16以上へのアップデートを推奨する（ダウンロード・サイト）

　また同ぜい弱性に関するSun社の公開情報は以下のサイトで入手できる。

・http://sunsolve.sun.com/search/document.do?assetkey=1-26-102050-1
・http://sunsolve.sun.com/search/document.do?assetkey=1-26-102003-1
・http://sunsolve.sun.com/search/document.do?assetkey=1-26-102017-1

◎関連記事
■Ajax，Flash，Java---オープンソースで実現するリッチクライアント 第1回
■人に聞けないJavaの常識（1）
■「セキュリティの観点からも.NETで開発すべき」――米Microsoftの開発部門担当副社長が語る
■「参加の時代」到来を訴えるSun，Java技術はオープンソースが主導へ
■「Java開発者はオープンソース・ソフトを信頼し，積極的に利用している」，米調査より
■米Oracle，Java開発ツール「JDeveloper 10 g」のライセンスを無料化
■「Eclipse RCP 3.1」が公開，「Eclipse Platform 3.1」は今週中にリリース
■Javaを脅かすPHP，大手テクノロジ企業が続々支持

[発表資料へ]