タイトルMRJ 2.2.2でIE5.0との組み合わせで生じるセキュリティホールが解決カテゴリーブラウザ, Java, ブラウザ
作成日2000/6/30 0:29:18作成者阪倉 一
MRJ2.2とInternet Exploler5.0の組み合わせで生じるセキュリティホールについて、Java Security Report(JSR)ではこれまで何度がお伝えしてきた。これは、MRJ 2.2(Mac OS Runtime for Java 2.2)における実装上のバグが原因であったが、日本時間の2000/6/28に公開されたMRJ 2.2.2において、このバグが解消した。

Javaのセキュリティ仕様では、ネットワーク経由でダウンロードされたJavaアプレットは、ダウンロード元以外のネットワーク機器とは通信ができない。しかし、このバグによって、それが可能になってしまう。その結果、このバグを利用すると、手元のコンピュータの情報だけでなく、任意のWebサーバ、例えば外部からはアクセスできないIntranet上の社内Webサーバの情報を、自由に読みとることが可能になる。また、任意のコンピュータを、不正アクセスの踏み台することが可能になる。そのため、このバグはネットワークに接続しているマシンで
Javaを使う上で、致命的なものであり、Javaの著名なメーリングリストである、JavaHouse Brewersでもバグ状況の確認と、セキュリティホールに関する警告が行われていた(2000/5/18、2000/6/2付けのJSRの記事を参照)。このバグは2種類あり、単純に任意のホストへの接続をブロックしていないというものと、HTTP-redirectによって、ホストがアプレットに再接続を要求する際に、その再接続先アドレスが、アプレットのダウンロード元かどうかをチェックしないために任意のホストへアクセスをブロックできないというものである。これらのバグが、今回解消した。

この新しいMRJについて筆者の環境(Mac OS J1-9.0.4、MRJ 2.2.2、Internet Exploler日本語版5.0)で確認をしてみた。確認には、このセキュリティホールが存在することを確認できるアプレットを掲載しているURL(以下の部分を参照)にアクセスしてみた。この結果、JavaHouse Brewersで警告されている2種類のセキュリティホールが無くなっていることが確認できた。
MRJ2.2.2に付属しているドキュメントには、このセキュリティホールについての対処を行ったと記述されているが、その他にIE5.0との組み合わせでネットワーク上の問題が存在するとも記述されている。この残された問題については、今のところ明らかになっておらず、わかり次第続報をお届けする。

現在MRJ2.2.2は英語版だけが存在し、日本語版は公開されていない。日本語環境での使用は問題ないと考えられるが、不具合が発生する可能性も否定できないので、使用する際には注意したほうがよいだろう。
なお、MRJ2.2より前のMRJ(MRJ 2.1.4、MRJ 2.1.1、MRJ 2.1)には、明確に実装上のバグが存在し、どの組み合わせでもセキュリティホールが発生するので使用してはいけない。つまり、現状では、

  • IE5.0とMRJ2.2.2
  • IE4.5とMRJ2.2
  • iCabとMRJ2.2.2
  • iCabとMRJ2.2

が安全な組み合わせである。MacでJavaアプレットを使う可能性があるユーザは、必ず上記の環境にするべきである。

◇JavaHouseによる警告文
 http://java-house.etl.go.jp/ml/archive/j-h-b/033152.html

◇Javaのネットワーク接続におけるセキュリティホールのテスト
 http://java-house.etl.go.jp/~takagi/java/test/urlconnection-http-redirect/Test.html
 http://java-house.etl.go.jp/~takagi/java/test/urlconnection-direct/Test.html

[阪倉 一/Java Security Report]
関連リンクMRJ 2.2.2のダウンロード