PR

 米Appleは米国時間9月13日,Mac OS X 10.3.9/10.4.2に搭載されたJava 1.3.1/1.4.2に複数のセキュリティ・ホールが見つかったことを明らかにした。同時に,セキュリティ・ホールを修正する「Java Security Update」を公開。Java Security Updateを適用すれば,セキュリティ・ホールを修正したJava 1.3.1_16あるいは1.4.2_09にアップグレードされる。Java Security Updateは同社サイトソフトウェアアップデート機能から入手できる。

 今回公表されたセキュリティ・ホールは以下の5種類。

(1)テンポラリ・ディレクトリを取り扱う際に,競合状態(race condition)が発生するセキュリティ・ホール。悪用されると,ローカルの攻撃者に任意のファイルを破壊されたり作成されたりする。

(2)Java共有アーカイブを更新する際に,競合状態(race condition)が発生するセキュリティ・ホール。悪用されると,ローカルの攻撃者に任意のファイルを破壊されたり作成されたりする。

(3)Java共有アーカイブを更新するユーティリティに関するセキュリティ・ホール。悪意のあるユーザーに,許可していない権限で任意のコマンドを実行される恐れがある。

(4)Javaアプレットの取り扱いに関するセキュリティ・ホール。細工が施されたアプレットを読み込むと,セキュリティ設定を回避されて,本来は許可していない権限で実行させられる可能性がある。

(5)Java ServerSocketに関するセキュリティ・ホール。悪用すれば,あるJavaプログラムが送受信するデータを別のJavaプログラムで傍受できる。

 対策は,同社が公開するJava Security Updateを適用すること。Java 1.3.1はJava 1.3.1_16に,Java 1.4.2はJava 1.4.2_09に自動的にアップグレードされる。他のSecurity Update同様,Mac OS Xが備えるソフトウェアアップデート機能からも適用できる。

◎参考資料
About the Java Security Update
Java Security Update
MacOS X Java patches
Apple Security Update Fixes Multiple Java Platform Vulnerabilities