検索:
ホーム   »   脆弱性   »   Oracle、Javadoc に存在する脆弱性の修正を含むセキュリティアップデートを公開

Oracle、Javadoc に存在する脆弱性の修正を含むセキュリティアップデートを公開

  • 投稿日:2013年6月21日
  • 脅威カテゴリ:脆弱性, 攻撃手法
  • 執筆:Vulnerability Researcher - Sumit Soni
0

Oracle は、2013年6月18日(米国時間)、定例のセキュリティアップデート「Oracle Java SE Critical Patch Update Advisory – June 2013」を公開。これには、Java SE における40件のセキュリティ更新が含まれており、そのうち37件は、不正プログラムの実行をもたらす脆弱性を修正します。さらに1件は、”Javadoc ツール” に存在する脆弱性も修正します。この Javadoc ツール とは、HTML ページを生成するツールであり、主に Web サイトで使用されます。

この脆弱性は、「CVE-2013-1571」としても識別されます。攻撃者が操作する frame を作成された Javadoc の HTML ページに組み込むことによりこの脆弱性が利用されると、ユーザは重要な情報を収集される可能性があります。なお、これは、frame インジェクションの脆弱性としても知られています。

Javadoc は、コード内の Javadoc コメントから HTML ページを生成するツールです。問題の脆弱性は、Javadoc ツールによって生成された HTML ページの一部として含まれる JavaScript のコード内における不具合によるものです。そのため、問題の HTML ページを使っているすべての Web サイトは、攻撃者が操作する Web サイトへユーザを知らないうちに誘導することによって、ユーザの情報を収集したり、不正プログラムをインストールするために利用されます。

Oracle は、今回公開したセキュリティアップデートにおいて、この脆弱性に対処するために2つの解決策を公開しています。まず1つは、Javadoc ツールの更新です。そしてもう1つは、”Java API Documentation Updater Tool” と呼ばれるツールを使用し、現存する JavaDoc を再生成することなく、Javadoc で生成されたページから脆弱性を修正します。もちろんトレンドマイクロは、ユーザこれらの解決策をできるだけ早く適用することを強く推奨します。

また、弊社のサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」をご利用のお客様は、最新の「13-020」へ更新し、以下のフィルタを適用することにより、問題の脆弱性を利用した攻撃から保護されます。

  • 1005553 – Oracle JavaDoc Frame Injection Vulnerability
  • なお本脆弱性に関する詳しい情報は、「CERT(英語情報)」のページをご参照ください。

    参考記事:

  • 「Oracle Update Includes Javadoc Frame Injection Vulnerability」
     by Sumit Soni (Vulnerability Research)
  •  翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)

    Related posts:

    1. 系譜から探る深刻度が増した「WORM_DOWNAD」
    2. “Microsoft Office Web コンポーネント” のセキュリティホールを利用した新たなゼロデイ攻撃を確認!
    3. 「日本人プロ野球選手のオフィシャルサイト」改ざん事例に対する分析
    4. アフィリエイトによる金銭取得が目的か!? -“mstmp””lib.dll”攻撃続報


    • 個人のお客さま向けオンラインショップ
    • |
    • 法人のお客さま向け直営ストア
    • |
    • 販売パートナー検索
    • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
    • Latin America Region (LAR): Brasil, México
    • North America Region (NABU): United States, Canada
    • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
    • 電子公告
    • ご利用条件
    • プライバシーポリシー
    • Copyright © 2021 Trend Micro Incorporated. All rights reserved.