Trend Micro Security

Oracle Java 7 でのSecurity Manager のバイパスに関する脆弱性 (CVE-2013-0422)

  危険度: : 緊急
  CVE識別番号: CVE-2013-0422
  情報公開日: 1 10, 2013

  概要

リモートコードを実行する脆弱性が、以下のJavaのバージョンに存在します。

  • Java Development Kit 7 Update 10 およびそれ以前のバージョン
  • Java Runtime Environment 7 Update 10 およびそれ以前のバージョン
  • この脆弱性は、攻撃者に、脆弱なコンピュータにおいてリモートでの任意のコードの実行を許可します。この脆弱性を利用するために、攻撃者は、ユーザが改ざんされたWebサイトまたは不正なWebサイトへアクセスするよう誘導する必要があります。これらのWebサイトには、この脆弱性を標的とした不正なJavaアプレットが組み込まれています。ブラウザでユーザに怪しまれることなくこの不正なアプレットが実行されることにより、攻撃者は脆弱なコンピュータで任意のコードが実行可能になります。脆弱なコンピュータのユーザは、トレンドマイクロでは「TROJ_REVETON.RJ」および「TROJ_REVETON.RG」として検出されるランサムウェアに感染することとなります。ユーザは、このようなマルウェアの危険にさらされることで、金銭的被害を受けることとなります。

    「Java Development Kit」と「Java Runtime Environment」のバージョン 6、5.0および1.4.2 および「Java Standard Edition Embedded JRE」はこの脆弱性による影響を受けないことに留意してください。


      トレンドマイクロの対策


    この攻撃の標的とされた脆弱性を修正するJavaの更新プログラムのダウンロードを強くおすすめします。この更新プログラムは、最新バージョンであるJava 7 をUpdate 11に更新します。このプログラムは、Javaの公式Webサイトからダウンロード可能です。また、Javaは、ユーザが日常的に使用している可能性のあるアプリケーションの一部です。Javaを使用しなくてはならない場合、Javaを安全に使用するための方法をご確認ください。

    また、以下の対応方法の実行もおすすめします。


    ブラウザでのJavaの無効化

    署名済みまたは未署名のいずれのJavaアプリケーションもブラウザで実行しないようにする。:

    1. 1.「Javaコントロールパネル」を開く。Javaコントロールパネルの開き方は、お使いのOSによって異なります。詳しくは、OracleのWebサイトを参照してください。
    2. 2.Javaコントロールパネルで、「セキュリティ」タブをクリックします。セキュリティタブで、「ブラウザでJavaコンテンツを有効にする」のチェックを解除します。これにより、Javaプラグインがブラウザで無効になります。
    3. 3.「適用」をクリックし、確認ウィンドウで「OK」をクリックします。


    未署名のアプリのセキュリティレベルの設定

    Javaコントロールパネルのセキュリティタブを使用することで、セキュリティレベルの設定が可能になりました。これにより、ユーザは、未署名のアプリを実行する際、ブラウザの動作のコントロールが可能になります。ユーザは、「低」、「中」、「高」または「非常に高」のセキュリティ設定が可能になります。

    初期状態のセキュリティレベルは、ブラウザで未署名のJavaアプリが実行する前に、ユーザに警告する「高」です。この設定がセキュリティの基準を下回る場合、最初にJavaを更新するという選択肢があります。

    また、スライダーを「非常に高」に設定することで、未署名のアプリを実行しないようにするといった選択肢もあります。


    トレンドマイクロ製品による対応

    トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」は、以下の「Deep Packet Inspection(DPI)」を介してネットワークを保護します。また、「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」をご利用のユーザも、これらの脆弱性から保護されます。



    Microsoft セキュリティ情報 ID CVE識別番号 DPIフィルタ番号 DPIフィルタ名 DPIリリース日 脆弱性対策オプションとの互換性

    CVE-2013-0422 1004771 Identified Malicious Java JAR Files 2013年1月12日 あり


    1005177 Restrict Java Bytecode File (Jar/Class) Download
    あり

      対応方法

      影響を受けるソフトウェア

    • Java Development Kit Update 10 and earlier
    • Java Runtime Environment Update 10 and earlier