Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Site menu starts here.

Skip site menu.

End of site menu.

Displaying present location in the site.

Main content starts here.

NEC製品セキュリティ情報

Oracle Java 7に任意のOSコマンドが実行可能な脆弱性

掲載番号:NV13-001
脆弱性情報識別番号:VU#636312

概要

Oracleが提供するJava 7には、Javaのサンドボックスを回避され、任意のOSコマンドが実行可能な脆弱性が存在します。
攻撃者によって細工されたJavaアプレットが埋め込まれたウェブページを開くことで、任意のOSコマンドが実行される可能性があります。

対象製品

SecureWare/電子署名開発キット

影響の有無

あり

対象となる製品のバージョン

SecureWare/電子署名開発キット V1.3

製品自体には影響がありませんがJRE 7 update 6およびそれ以前のJRE 7を利用している場合は影響があります。

対処方法

対応済みのJRE 7 update 7にバージョンアップしてください。(2012/10/01時点)

参考情報

Japan Vulnerability Notes JVNTA12-240A:

Oracle Java 7 に脆弱性

http://jvn.jp/cert/JVNTA12-240A/index.html

US-CERT VU#636312:

Oracle Java JRE 1.7 Expression.execute() and SunToolkit.getField() fail to restrict access to privileged code

http://www.kb.cert.org/vuls/id/636312

CVE CVE-2012-4681:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4681

更新情報

2013/01/30: SecureWare/電子署名開発キットを登録しました。