Java Runtime Environment(JRE)
サン・マイクロシステムズ社が提供する Java プログラムの実行環境ソフト。
Java が動作するときのランタイムルーチン。
正確には,Javac などのコンパイル環境がないものなので『環境』。
2007年1月16日,Sun Microsystems はこれに GIF 画像の取り扱いに関する脆弱性が存在すると発表。
GIF 画像の取り扱いにバッファオーバーフローの問題があり,外部からローカルファイルの読み書きや実行が可能となる。
脆弱性の影響を受けるのは,JDK/JRE 5.0 Update 9 以前,SDK/JRE 1.4.2_12 以前,SDK/JRE 1.3.1_18 以前。
最新版では修正されている。
2007年5月31日 Sun Microsystems は2種類の脆弱性が存在すると発表。
1つめの脆弱性は,画像処理コード(ICCパーサー)に存在するバッファオーバーフローで,悪用されると,信頼できないアプレットやアプリケーションの権限が昇格し,本来ならばアクセスできないはずのローカルファイルの読み書きが可能になったり,ローカルアプリケーションを実行されたりする可能性がある。
もう1つの脆弱性は,Java Virtual Machine のハングアップにつながる。
影響を受けるのは JDK/JRE 6,JDK/JRE 5.0 Update 10以前,SDK/JRE 1.4.2_14 以前およびSDK/JRE 1.3.1_19以前。
Sun は問題を修正した JDK/JRE 6 Update 1 以降,JDK/JRE 5.0 Update 11 以降もしくは SDK and JRE 1.3.1_20 以降にアップデートするよう推奨している。
2007年6月6日,SANS Internet Storm Center は JRE の脆弱性を狙うエクスプロイトが確認されたと発表。
脆弱性は2007年1月に公表されたもので,JDK/JRE 5.0 Update 9 以前,SDK/JRE 1.4.2_12 以前および SDK/JRE 1.3.1_18 以前に影響がある。
GIF 画像の処理に問題があり,細工を施した画像を読み込むとバッファオーバーフローが発生し,システムを乗っ取られる恐れがある
確認されたエクスプロイトは,細工を施した悪意ある画像を表示させてメモリ破損を引き起こし,コード実行につなげるという。このコードにはダウンローダが含まれており,パスワードを盗み取る別のマルウェアを落としてくる。
2007年10月3日,Sun Microsystems はこれに見つかった脆弱性多数を修正するパッチを公開。
影響を受けるのは JDK/JRE 6 Update 2,JDK/JRE 5.0 Update 12,SDK/JRE 1.4.2_15,SDK/JRE 1.3.1_20 およびそれ以前のバージョン。
問題を修正するパッチとして,JDK/JRE 6 Update 3,JDK/JRE 5.0 Update 13,SDK/JRE 1.4.2_16,SDK/JRE 1.3.1 for Solaris 8を公開。
2007年10月23日 Secunia はこれにシステムアクセスの脆弱性が発見されたと発表。
脆弱性は不特定のエラーのため,Javaアプレットの処理の中で引き起こされ,信頼されていないアプレットによって,ローカルファイルが読み書きされ,さらにアプリケーションの実行も可能になるという。
対象はすべての Java の JRE と SDK のバージョンで報告されている。
影響を受けるのは Sun Java JDK 1.5.x/1.6.x,Sun Java JRE 1.3.x/JRE 1.4.x/1.5.x / 5.x/JRE 1.6.x / 6.x,
Sun Java SDK 1.3.x/1.4.x。
解決策は下記のようにアップデートすること。
JDK and JRE 6 Update 3以降,JDK and JRE 5.0 Update 13以降,SDK and JRE 1.4.2_16以降,SDK and JRE 1.3.1_21以降。
2008年3月11日,情報処理推進機構 セキュリティセンター(IPA)および有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は,これに脆弱性が確認されたと発表。
悪意あるJavaアプレットを含むウェブページを閲覧した利用者が,本来権限がないと実行できない処理を,XSLT処理を通じて不正に行なわれてしまう可能性がある。
脆弱性を修正した『JDKおよびJRE 6 Update 5』『JDKおよびJRE 5.0 Update 15』『SDKおよびJRE 1.4.2_17』が公開されている。
2006年12月20日,Secunia は危険度の高い4件の脆弱性が存在すると警告。
不正な Java アプレットによりローカルファイルの読み書きやローカルアプリケーションの実行などが可能になる。
既に脆弱性を修正したバージョンの JRE が公開されている。
2010年4月16日,一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は,脆弱性に関して注意喚起を行った。
JRE には複数の脆弱性があり,結果として,遠隔の第三者は細工した Web サイトなどをユーザーに閲覧させることで,任意のコードを実行したりする可能性があるとされる。
SDK/JRE 1.3.1_22
2008年3月4日公開のセキュリティアップデート版。
JDK/JRE 1.3.1_26
2009年8月4日公開。
SDK/JRE 1.4.2_17
2008年3月4日公開のセキュリティアップデート版。
JDK/JRE 1.4.2_22
2009年8月4日公開。
Java Runtime Environment(JRE)5
2007年8月16日,脆弱性に対する修正パッチが公開された。
Java アプレットに含まれるフォント解析のエラーが原因で,ローカルファイルの読み取り/書き込みを行ったり,任意のアプリケーションを実行することができてしまう。
脆弱性が存在するのは JDK/JRE 5.0 Update 9 および SDK/JRE 1.4.2_14 とそれ以前のバージョン。
問題は,JDK/JRE 5.0 Update 10と,SDK/JRE 1.4.2_15以降で修正されている。
JRE 5.0 Update 15
2008年3月4日公開のセキュリティアップデート版。
JRE 5.0 Update 18
2009年3月25(?)日公開の修正パッチ。
JDK/JRE 5.0 Update 20
2009年8月4日公開。
JRE 6 Update 5
2008年3月4日公開のセキュリティアップデート版。
JRE 6.0 Update 13
Sun Microsystems が2009年3月25(?)日に公開したパッチ。
JRE の LDAP インプリメンテーション,フォントファイル処理,画像ファイル処理,Java プラグインなどに関連する多数の脆弱性を修正。
JDK/JRE 1.6.0_15(6 Update 15)
2009年8月4日公開の修正版。
多数の脆弱性を解決するとともに,パフォーマンス改善などのバグ修正が盛り込まれた。
JRE/JDK 6 Update 17
2009年11月公開の Java SE Runtime Environment(JRE)とJava SE Development Kit(JDK)の深刻な脆弱性の修正版。
任意のコード実行やサービス妨害(DoS)攻撃,情報流出などを招く恐れのある脆弱性を多数修正した。
戻る 英語『J』,最初のメニュー