vs gauge
区分
JVN番号
タイトル
JVN
深刻度
最終更新日
CVE番号
Update
JVNDB-2013-001027

Oracle Java 7 に脆弱性

N/A
2014/08/25 17:17
CVE-2013-0422
JVNDB-2013-001027
Oracle Java 7 に脆弱性
概要
Oracle が提供する Java 7 には、任意のコードが実行可能な脆弱性が存在します。

Oracle が提供する Java 7 には、Java のサンドボックスを回避され、任意のコードが実行可能な脆弱性が存在します。

なお、本脆弱性を使用した攻撃コードが公開されており、攻撃も観測されています。
想定される影響と対策
細工された Java アプレットが埋め込まれたウェブページや、Java Network Launching Protocol (JNLP) ファイルを開くことで、任意のコードが実行される可能性があります。
[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者が公表している Oracle Security Alert CVE-2013-0422 (※1) には、Java 7 Update 11 (7u11) において、本脆弱性 (CVE-2013-0422) および脅威の高い別の脆弱性 (CVE-2012-3174) が修正されている、と記載されています。 ※1:http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html 一方、Immunity 社は、2013年1月14日のブログ記事 Confirmed: Java only fixed one of the two bugs. (※2) で、Java 7 Update 11 は CVE-2013-0422 のうち、Reflection API に関する脆弱性のみを修正し、JmxMBeanServer Class に関する脆弱性の修正は不完全である、と述べています。 ※2:http://immunityproducts.blogspot.ca/2013/01/confirmed-java-only-fixed-one-of-two.html ウェブブラウザ上で Java を実行する必要がないユーザは、最新版へアップデートした上で以下の回避策をとることが推奨されます。 [ワークアラウンドを実施する] 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 また、本ワークアラウンドは、今後新たに Java の脆弱性が発見された場合においても、脆弱性の影響を軽減できる可能性があります。   * ウェブブラウザの Java プラグインを無効にする
JVN情報 ※( )内はCVSS v2の値
深刻度 N/A 10.0
CVECVE-2013-0422
公表日2013/01/11 00:00
登録日2013/01/11 14:47
更新日2014/08/25 17:17
CVSS v3情報
全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。