本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

KLA11076
Oracle Java SEにおける複数の脆弱性
更新日: 07/05/2018
検出日
?
07/19/2017
危険度
?
重要
説明

Oracle Java SEでは複数の深刻な脆弱性が発見されています。悪意のあるユーザーは、これらの脆弱性を利用して特権を取得し、アクセス可能なデータを読み書きし、サービス拒否を引き起こす可能性があります。

以下に、脆弱性の完全な一覧を示します。

  1. Java SE、Java SE Embedded、およびJRockitの2Dサブコンポーネントの特定されていない脆弱性は、サンドボックス化されたJava Web Startアプリケーション、サンドボックス化されたJavaアプレット、Webサービスを介して指定されたComponentのAPIにデータを提供すること;
  2. Java SEのSecurityサブコンポーネントの不特定の脆弱性は、信頼できないコードを実行して権限を得るようユーザーに納得させることで、リモートから悪用される可能性があります。
  3. Java SEとJava SE EmbeddedのHotspotサブコンポーネントの不特定の脆弱性は、信頼できないコードを実行して権限を得るようユーザーに納得させることで、リモートから悪用される可能性があります。
  4. Java SEのスクリプティングサブコンポーネントの不特定の脆弱性は、サンドボックス化されたJava Web Startアプリケーション、サンドボックス化されたJavaアプレット、Webサービスを介して指定されたコンポーネントのAPIにデータを提供することによりリモートから利用でき、 ;
  5. Java SEおよびJava SE EmbeddedのHotspotサブコンポーネントの不特定の脆弱性は、信頼できないコードを実行してJava SE、Java SE Embeddedアクセス可能なデータの一部への書き込みアクセスを取得するようユーザーに納得させることで、リモートで利用できます。
  6. Java SEのJavaFXサブコンポーネントの複数の不特定の脆弱性は、信頼できないコードを実行して特権を得るようユーザーに納得させることで、リモートから悪用される可能性があります。
  7. Java SEおよびJava SE Embeddedのライブラリサブコンポーネントの複数の不特定の脆弱性は、信頼できないコードを実行して特権を得るようユーザーに納得させることで、リモートから悪用される可能性があります。
  8. Java SEのImageIOサブコンポーネントの不特定の脆弱性は、信頼できないコードを実行して特権を得るようユーザーに納得させることで、リモートから悪用される可能性があります。
  9. Java SEおよびJava SE EmbeddedのJAXPサブコンポーネントの複数の不特定の脆弱性は、信頼できないコードを実行して特権を得るようユーザーに納得させることで、リモートから悪用される可能性があります。
  10. Java SEおよびJava SE EmbeddedのRMIサブコンポーネントの不特定の脆弱性は、特権を得るためにWebサービスを介して指定されたコンポーネント内のAPIにデータをリモートで提供することができます。
  11. Java Advanced Management ConsoleのServerサブコンポーネントの複数の不特定の脆弱性は、未知のベクトルを介してリモートから悪用され、Java Advanced Management Consoleのアクセス可能なデータの一部に対する読み取り/書き込みアクセスを引き起こし、サービス拒否を引き起こす可能性があります。
  12. Java SEのDeploymentサブコンポーネントの不特定の脆弱性は、信頼できないコードを実行してJava SEのアクセス可能なデータの一部への書き込みアクセス権を得るようユーザーに納得させることで、リモートから悪用される可能性があります。
  13. Java SEとJava SE EmbeddedのRMIサブコンポーネントの不特定の脆弱性は、信頼できないコードを実行して権限を得るようユーザーに納得させることで、リモートから悪用される可能性があります。
  14. Java SE、Java SE Embedded、およびJRockitのSerializationサブコンポーネントの不特定の脆弱性は、サンドボックス化されたJava Web Startアプリケーション、サンドボックス化されたJavaアプレット、Webサービスを介して指定されたComponentのAPIにデータを提供することによってリモートから悪用され、 ;
  15. Java SE、Java SE Embedded、およびJRockitのSerializationサブコンポーネントの不特定の脆弱性は、信頼できないコードを実行してサービス拒否を引き起こすようユーザーに納得させることで、リモートから悪用される可能性があります。
  16. Java SEのAWTサブコンポーネントの不特定の脆弱性は、信頼できないコードを実行して特権を得るようユーザーに納得させることで、リモートから悪用される可能性があります。
  17. Java SE、Java SE Embedded、JRockitのJCEサブコンポーネントにおける複数の不特定の脆弱性は、サンドボックス化されたJava Web Startアプリケーション、サンドボックス化されたJavaアプレット、またはWebサービスを介して指定されたコンポーネント内のAPIにデータを提供することにより、 Java SE、Java SE Embedded、JRockitでアクセス可能なデータ。
  18. Java SE、Java SE Embedded、JRockitのセキュリティサブコンポーネントの不特定の脆弱性は、サンドボックス化されたJava Web Startアプリケーション、サンドボックス化されたJavaアプレット、またはWebサービスを介して指定されたコンポーネントのAPIにデータを提供することにより、
  19. Java Advanced Management ConsoleのServerサブコンポーネントの不特定の脆弱性は、未知のベクトルを介してリモートから悪用され、Java Advanced Management Consoleのアクセス可能なデータの一部への読み取りアクセスを得ることができます。
  20. Java SEのDeploymentサブコンポーネントの不特定の脆弱性は、権限を得るために未知のベクトル経由でローカルに悪用される可能性があります。
  21. Java SE、Java SE Embedded、JRockitのセキュリティサブコンポーネントの複数の不特定の脆弱性は、サンドボックス化されたJava Web Startアプリケーション、サンドボックス化されたJavaアプレット、またはWebサービスを介して指定されたコンポーネントのAPIにデータを提供することによりリモートからJava SE、Java SE Embedded、JRockitでアクセス可能なデータ。
  22. Java SEおよびJava SE Embeddedのセキュリティサブコンポーネントの不特定の脆弱性は、信頼できないコードを実行してJava SEおよびJava SE Embeddedアクセス可能なデータの一部に読み取りアクセスするようにユーザーに納得させることで、リモートで利用できます。
  23. Java SE、Java SE Embedded、JRockitのJAX-WSサブコンポーネントの不特定の脆弱性は、サンドボックス化されたJava Web Startアプリケーション、サンドボックス化されたJavaアプレット、またはWebサービスを介して指定されたコンポーネント内のAPIにデータを提供してJava SEおよびJava SE Embeddedアクセス可能なデータの一部に転送し、サービス拒否を引き起こします。

技術的な詳細

脆弱性(20)は、Java Auto Updateが有効になっているJavaの展開に適用されます。

注意:すべての脆弱性がCVSS評価を既に持っているわけではないので、累積CVSS評価は代表ではありません。

影響を受ける製品

Oracle Java SE 6u151
Oracle Java SE 7u141
Oracle Java SE 8u131
Oracle Java SE Embedded 8u131
Oracle JRockit R28.3.14
Oracle Java Advanced Management Console 2.6

解決法

最新バージョンへのアップデート
Java SEを入手する

オリジナル勧告

Oracle Critical Patch Update – July 2017

影響
?
WLF 
[?]

RLF 
[?]

PE 
[?]

DoS 
[?]
関連製品
Oracle JRockit
Oracle Java JRE 1.8.x
Oracle Java JRE 1.7.x
Oracle Java JDK 1.8.x
Oracle Java JDK 1.7.x
CVE-IDS
?

CVE-2017-10243
CVE-2017-10198
CVE-2017-10193
CVE-2017-10176
CVE-2017-10145
CVE-2017-10125
CVE-2017-10121
CVE-2017-10118
CVE-2017-10117
CVE-2017-10116
CVE-2017-10115
CVE-2017-10114
CVE-2017-10111
CVE-2017-10110
CVE-2017-10109
CVE-2017-10108
CVE-2017-10107
CVE-2017-10105
CVE-2017-10104
CVE-2017-10102
CVE-2017-10096
CVE-2017-10090
CVE-2017-10089
CVE-2017-10087
CVE-2017-10086
CVE-2017-10081
CVE-2017-10078
CVE-2017-10074
CVE-2017-10067
CVE-2017-10053


オリジナルへのリンク