JRE 6u23 などの、<JRE_HOME>/lib/rt.jar ファイルの中身に欠陥。
doubleValue() 関数による、倍精度浮動小数点10進数の Parse エラー → DoS 攻撃成立、らしいです。
Oracle http://www.oracle.com/technetwork/topics/security/alert-cve-2010-4476-305811.html
> Oracle Security Alert for CVE-2010-4476
Oracle http://blogs.oracle.com/security/2011/02/security_alert_for_cve-2010-44.html
> Security Alert For CVE-2010-4476 Released (The Oracle Global Product Security Blog)
↑"the upcoming Java Critical Patch Update (Java SE and Java for Business Critical Patch Update - February 2011), which will be released on February 15th 2011." との事です。
6u24 で対応予定。とりあえずブラウザー Plug In を無効にして、待て 2/16(水) 、と云うところでしょうか。
あとなにやら、回避ツールがあるらしい↓のですが、結局 lib の置き換えなので、ちょっとリスキー。
Oracle http://www.oracle.com/technetwork/java/javase/fpupdater-tool-readme-305936.html
> FPUpdater Tool README
プリプロセッサー周りなんて触りたくないと言いますか、なんと言いますか。
それしても rt.jar ファイルっておおきい。サイズが 43 MB もあります。
(関連)
Secunia Advisories http://secunia.com/advisories/43262/
> Sun Java JDK / JRE / SDK "doubleValue()" Denial of Service Vulnerability - Advisories - Community
ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/articles/1102/10/news025.html
> OracleがJavaの臨時パッチをリリース、サーバ攻撃発生の危険が高まる - ITmedia エンタープライズ
セキュリティホール memo http://www.st.ryukoku.ac.jp/~kjm/security/memo/2011/02.html#20110210_Java
> ■ Java Hangs When Converting 2.2250738585072012e-308
↑"また 2011.02.15 にリリースされる予定の JRE 6 update 24 で修正されている。 " との事です。
いじょうです。
-
- -