Oracle は、2013年6月18日(米国時間)、定例のセキュリティアップデート「Oracle Java SE Critical Patch Update Advisory – June 2013」を公開。これには、Java SE における40件のセキュリティ更新が含まれており、そのうち37件は、不正プログラムの実行をもたらす脆弱性を修正します。さらに1件は、”Javadoc ツール” に存在する脆弱性も修正します。この Javadoc ツール とは、HTML ページを生成するツールであり、主に Web サイトで使用されます。
この脆弱性は、「CVE-2013-1571」としても識別されます。攻撃者が操作する frame を作成された Javadoc の HTML ページに組み込むことによりこの脆弱性が利用されると、ユーザは重要な情報を収集される可能性があります。なお、これは、frame インジェクションの脆弱性としても知られています。
Javadoc は、コード内の Javadoc コメントから HTML ページを生成するツールです。問題の脆弱性は、Javadoc ツールによって生成された HTML ページの一部として含まれる JavaScript のコード内における不具合によるものです。そのため、問題の HTML ページを使っているすべての Web サイトは、攻撃者が操作する Web サイトへユーザを知らないうちに誘導することによって、ユーザの情報を収集したり、不正プログラムをインストールするために利用されます。
Oracle は、今回公開したセキュリティアップデートにおいて、この脆弱性に対処するために2つの解決策を公開しています。まず1つは、Javadoc ツールの更新です。そしてもう1つは、”Java API Documentation Updater Tool” と呼ばれるツールを使用し、現存する JavaDoc を再生成することなく、Javadoc で生成されたページから脆弱性を修正します。もちろんトレンドマイクロは、ユーザこれらの解決策をできるだけ早く適用することを強く推奨します。
また、弊社のサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」をご利用のお客様は、最新の「13-020」へ更新し、以下のフィルタを適用することにより、問題の脆弱性を利用した攻撃から保護されます。
なお本脆弱性に関する詳しい情報は、「CERT(英語情報)」のページをご参照ください。
参考記事:
by Sumit Soni (Vulnerability Research)
翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)