Oracle Java 7 でのSecurity Manager のバイパスに関する脆弱性 (CVE-2013-0422)

この攻撃の標的とされた脆弱性を修正するJavaの更新プログラムのダウンロードを強くおすすめします。この更新プログラムは、最新バージョンであるJava 7 をUpdate 11に更新します。このプログラムは、Javaの公式Webサイトからダウンロード可能です。また、Javaは、ユーザが日常的に使用している可能性のあるアプリケーションの一部です。Javaを使用しなくてはならない場合、Javaを安全に使用するための方法をご確認ください。

また、以下の対応方法の実行もおすすめします。

ブラウザでのJavaの無効化

署名済みまたは未署名のいずれのJavaアプリケーションもブラウザで実行しないようにする。：

1. 1.「Javaコントロールパネル」を開く。Javaコントロールパネルの開き方は、お使いのOSによって異なります。詳しくは、OracleのWebサイトを参照してください。
2. 2.Javaコントロールパネルで、「セキュリティ」タブをクリックします。セキュリティタブで、「ブラウザでJavaコンテンツを有効にする」のチェックを解除します。これにより、Javaプラグインがブラウザで無効になります。
3. 3.「適用」をクリックし、確認ウィンドウで「OK」をクリックします。

未署名のアプリのセキュリティレベルの設定

Javaコントロールパネルのセキュリティタブを使用することで、セキュリティレベルの設定が可能になりました。これにより、ユーザは、未署名のアプリを実行する際、ブラウザの動作のコントロールが可能になります。ユーザは、「低」、「中」、「高」または「非常に高」のセキュリティ設定が可能になります。

初期状態のセキュリティレベルは、ブラウザで未署名のJavaアプリが実行する前に、ユーザに警告する「高」です。この設定がセキュリティの基準を下回る場合、最初にJavaを更新するという選択肢があります。

また、スライダーを「非常に高」に設定することで、未署名のアプリを実行しないようにするといった選択肢もあります。

トレンドマイクロ製品による対応

トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security（トレンドマイクロ ディープセキュリティ）」は、以下の「Deep Packet Inspection（DPI）」を介してネットワークを保護します。また、「Trend Micro 脆弱性対策オプション（ウイルスバスター コーポレートエディション プラグイン製品）」をご利用のユーザも、これらの脆弱性から保護されます。

  修正パッチ: http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html

• Java Development Kit Update 10 and earlier
• Java Runtime Environment Update 10 and earlier