.
マイクロソフト、IE搭載“Java VM”のセキュリティ問題(MS03-011)に対処
“ByteCode Verifier”機能が不正なコードを適切にチェックしない脆弱性
(03/04/10)
マイクロソフト(株)は10日、IEに搭載されているJAVA仮想マシン「Microsoft VM」v5.0.3809以前のバージョンすべてにセキュリティ問題(MS03-011)があることを明らかにし、同問題に対するセキュリティ修正プログラムを同日に公開した。現在“Windows Update”機能を利用して無償でダウンロードできる。
同社はセキュリティ問題の深刻度を4段階でレベル分けしており、今回公開されたセキュリティ問題(MS03-011)は深刻度が最高の“緊急”に定義されている。JAVAアプリケーションを「Microsoft VM」上で実行する際、そのJAVAアプリケーションに不正なコードが含まれているか否かは“ByteCode Verifier”という機能でチェックしている。しかし、「Microsoft VM」の“ByteCode Verifier”には、特定のコードを適切にチェックしていないというセキュリティ上の脆弱性があり、その脆弱性を悪用されるとユーザーのWindowsマシンで不正なプログラムを実行される可能性があるとのこと。「Microsoft VM」用の修正プログラムを適用すれば、この問題を解決した新バージョンv5.0.3810がインストールされるので、過去のバージョンで発見された脆弱性にも対処可能。
なお、「Microsoft VM」はWindows 98/Me/NT 4.0/2000/XPのIEで使用されているが、2001年1月23日に同社とSun Microsystems, Inc.との間で成立した和解契約により、同社は同製品に対して2004年1月以降に一切の修正を施すことができなくなるとのこと。
□Microsoft VM の問題により、システムが侵害される (816093) (MS03-011)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-011.asp
□Microsoft Java Home Page
http://www.microsoft.com/japan/java/default.asp
□窓の杜 - 【NEWS】IE搭載“Java VM”の脆弱性対策を含む3種類のセキュリティ修正プログラム
http://www.forest.impress.co.jp/article/2002/12/12/winsecuritypatch.html
(竹元 克己)
トップページへ