CVE-2011-3544 の詳細
CVEの情報
説明:
Unspecified vulnerability in the Java Runtime Environment component in Oracle Java SE JDK and JRE 7 and 6 Update 27 and earlier allows remote untrusted Java Web Start applications and untrusted Java applets to affect confidentiality, integrity, and availability via unknown vectors related to Scripting.
CVE更新日: 2011-10-19 21:55:01.097000
CVSSバージョン: 3.1
CVSSスコア: 9.8
KEVの情報
KEV更新日: 2022-03-03
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.967140000
EPSS更新日: 2026-07-17 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: True
CVE-2011-3544に関する脆弱性の調査結果を以下に解説します。
1. 脆弱性の概要
Oracle Java SEのJDKおよびJREに存在するRhinoスクリプトエンジンにおける脆弱性です。Javaに組み込まれたJavaScriptエンジンがJavaScriptエラーオブジェクトを適切に処理しないことに起因します。
1.1 影響
リモートの信頼されていないJava Web Startアプリケーションおよび信頼されていないJavaアプレットにより、機密性、完全性、および可用性に影響が及ぶ可能性があります。これにより、細工されたWebページの閲覧などで、使用したWebブラウザの実行ユーザー権限と同じ権限が奪取される危険性があります。想定される被害としては、奪取されたユーザー権限による情報取得、改ざん、または、ワームやスパイウェアなどの悪意あるプログラムをシステム内にインストールされることが考えられます。 攻撃が成功すると、マルウェアのダウンロードと実行が可能になります。
1.2 深刻度
深刻度は「Critical」(緊急)と評価されています。 * CVSS v2.0 ベーススコア: 10.0 (AV:N/AC:L/Au:N/C:C/I:C/A:C) * CVSS v3.1 ベーススコア: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Red HatもこのCVEを「高リスク」と評価しており、この脆弱性を悪用する既知の公開エクスプロイトが存在すると報告しています。
2. 対象となる環境
2.1 影響を受けるOSバージョン
この脆弱性はOracle Java SEのコンポーネントに存在するため、影響を受けるJavaのバージョンが動作するすべてのOSが影響を受けます。具体的には、Oracle Java SE JDKおよびJRE 7、ならびに6 Update 27以前のバージョンが影響を受けます。 検証レポートではWindows XP SP3上のIE7とJRE 6 Update 23がターゲットシステムとして使用されました。 また、Ubuntu Linuxも影響を受けると記載されています。 JDK/JRE 5.0系列の製品はサポート期間が終了しているため、無償アップデートは提供されません。
2.2 影響を受ける設定
Oracle Java SE JDKおよびJRE 7、ならびに6 Update 27以前のバージョンに、脆弱性が存在します。 具体的には、Java内に組み込まれたRhinoスクリプトエンジンがJavaScriptエラーオブジェクトを適切に処理しないことに起因します。
3. 影響を受けた時の兆候
細工されたWebページを閲覧したり、スパムメール内の不正なリンクをクリックしたりすることで攻撃が実行されます。 影響を受けた場合、PC上にマルウェアがダウンロードされ、実行される可能性があります。
4. 推奨対策
4.1 本対策
JDKおよびJREのアップデートを実施することが推奨されます。具体的には以下のバージョンへの更新が推奨されています。 * Oracle Java SE JDKおよびJRE 7 Update 1 * Oracle Java SE JDKおよびJRE 6 Update 29
また、古いバージョンのJavaは削除することが推奨されています。
4.2 暫定回避策(緩和策)
この脆弱性に対する特定の技術的な暫定回避策については、情報が見つかりませんでした。しかし、脆弱性がWebページやメールのリンクを介して悪用されるため、不審なWebサイトへのアクセスや信頼できないメールのリンクをクリックしないといった基本的なセキュリティ対策が、攻撃のリスクを軽減する上で有効です。
参照したサイト