JRE 6u23 などの、<JRE_HOME>/lib/rt.jar ファイルの中身に欠陥。

doubleValue() 関数による、倍精度浮動小数点10進数の Parse エラー → DoS 攻撃成立、らしいです。

Oracle http://www.oracle.com/technetwork/topics/security/alert-cve-2010-4476-305811.html
> Oracle Security Alert for CVE-2010-4476

Oracle http://blogs.oracle.com/security/2011/02/security_alert_for_cve-2010-44.html
> Security Alert For CVE-2010-4476 Released (The Oracle Global Product Security Blog)

↑"the upcoming Java Critical Patch Update (Java SE and Java for Business Critical Patch Update - February 2011), which will be released on February 15th 2011." との事です。

6u24 で対応予定。とりあえずブラウザー Plug In を無効にして、待て 2/16(水) 、と云うところでしょうか。

あとなにやら、回避ツールがあるらしい↓のですが、結局 lib の置き換えなので、ちょっとリスキー。

Oracle http://www.oracle.com/technetwork/java/javase/fpupdater-tool-readme-305936.html
> FPUpdater Tool README

プリプロセッサー周りなんて触りたくないと言いますか、なんと言いますか。

それしても rt.jar ファイルっておおきい。サイズが 43 MB もあります。

(関連)

Secunia Advisories http://secunia.com/advisories/43262/
> Sun Java JDK / JRE / SDK "doubleValue()" Denial of Service Vulnerability - Advisories - Community

ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/articles/1102/10/news025.html
> OracleがJavaの臨時パッチをリリース、サーバ攻撃発生の危険が高まる - ITmedia エンタープライズ

セキュリティホール memo http://www.st.ryukoku.ac.jp/~kjm/security/memo/2011/02.html#20110210_Java
> ■ Java Hangs When Converting 2.2250738585072012e-308

↑"また 2011.02.15 にリリースされる予定の JRE 6 update 24 で修正されている。 " との事です。

いじょうです。

• • -