Oracle JRE の Applet2ClassLoader クラスに起因する任意コード実行の脆弱性（Scan Tech Report）

1.概要
Oracle Java SE の JRE コンポーネントには、Java アプレットを読み込む際に Applet2ClassLoader クラスにおいて URL のチェックを適切に行わない問題が報告されました。
悪質な Web ページを閲覧した場合、リモートの第三者によってシステム上で不正な操作が実行

脆弱性と脅威エクスプロイト

2011.3.23 Wed 8:00

1.概要
Oracle Java SE の JRE コンポーネントには、Java アプレットを読み込む際に Applet2ClassLoader クラスにおいて URL のチェックを適切に行わない問題が報告されました。
悪質な Web ページを閲覧した場合、リモートの第三者によってシステム上で不正な操作が実行される可能性があります。
この脆弱性は、Frederic Hoguin 氏によって 2010/9/28 に発見され、2011/2/15 に Oracle が問題を解消した Java SE をリリースしたものになります。その後、2011/3/15 にこの脆弱性を悪用する攻撃ツールが Metasploit で公開されています。今後、当該脆弱性を悪用するマルウェア等が出現する可能性が考えられるため、対象のユーザは可能な限り以下に記載する対策を実施することを推奨します。

2.深刻度(CVSS)
10.0
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2010-4452&vector=%28AV%3AN/AC%3AL/Au%3AN/C%3AC/I%3AC/A%3AC%29

3.影響を受けるソフトウェア
Java SE 6 Update 23 以前

※Windows、Solaris、および Linux プラットフォームの全ての環境が影響を受けます。

4.解説
Oracle Java SE の Java Runtime Environment (JRE) コンポーネントには、Applet2ClassLoader クラス (sun.plugin2.applet.Applet2ClassLoader) のクラスファイルを検索しロードする findClass メソッドにおいて、code 属性に指定されたクラスファイルを参照する URL を適切にチェックにしない不備が存在します。
このため、code 属性に指定された URL から信頼できないクラスファイル(Java アプレット) を読み込んでしまう脆弱性が存在します。

この脆弱性を利用することで、リモートの攻撃者は Web ブラウザを実行するユーザの権限で任意のコード実行が可能となります。
なお、信頼できないクラスファイルは、本来サンドボックス内の制限された権限でのみ実行されますが、JRE のインストールフォルダである拡張クラスローダ "libext" を介してこの脆弱性を悪用することで、管理者権限 (SYSTEM) で任意のコード実行が可能なことが発見者より報告されています。

また、この脆弱性を解消する Java SE 6 Update 24 では、他多数の脆弱性についても解消しています。詳細につきましては、関連情報 Critical Patch Update February 2011 を参照下さい。

5.対策
（Web非公開）

6.関連情報
（Web非公開）

7.エクスプロイト
（Web非公開）

8.想定される攻撃シナリオは次のようになります。
（Web非公開）

9.エクスプロイトの動作概要および結果
（Web非公開）

（執筆：株式会社ラック　サイバーリスク総合研究所　コンピュータセキュリティ研究所）

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録（有料）下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html