3.影響を受けるソフトウェア Java SE 6 Update 21 以前 ※Windows、Solaris、および Linux プラットフォームの全ての環境が影響を受けます。
4.解説 Java Web Start は、Java アプリケーションを Web サーバなどから自動的にダウンロードおよびインストールし、サンドボックス上にて実行する機能を提供します。JRE をインストールした場合 Java Web Start は、同時にインストールされます。
Java Web Start には、BasicServiceImpl クラスの実装に不備が存在するため、Java Web Start を起動するコマンド javaws を介して既定で利用するセキュリティポリシーファイルを変更することが可能な脆弱性が存在します。このため、Java Web Start に変更したセキュリティポリシーファイルを読み込ませることで、サンドボックスによるセキュリティ制限を回避可能となります。
この脆弱性を利用することで、リモートの攻撃者は Web ブラウザを実行するユーザの権限で任意のコード実行が可能となります。
この脆弱性を解消する Java SE 6 Update 22 では、同様にエクスプロイトコードが公開されている JRE の New Java Plug-in コンポーネントにおいてバッファオーバーフローが発生する脆弱性※ (CVE-2010-3552) の他、多数の脆弱性についても解消しています。詳細につきましては、関連情報 Critical Patch Update October 2010 を参照下さい。
