【影響を受けるとされているシステム】

• Oracle Java JDK and JRE 7 Update 2 およびそれ以前
• Oracle Java JDK and JRE 6 Update 30 およびそれ以前
• Oracle JavaFX 2.0.2 およびそれ以前

【対策案】

Oracle社より、この脆弱性を修正したバージョンがリリースされております。当該脆弱性が修正されたバージョンにアップデートしていただくことを推奨いたします。

• Oracle Java JDK and JRE 7 Update 3
• Oracle Java JDK and JRE 6 Update 31
• Oracle JavaFX 2.0.3

【参考サイト】

Oracle Java SE Critical Patch Update Advisory - February 2012
http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html

CVE-2012-0500
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2012-0500

【検証イメージ】

【検証ターゲットシステム】

Windows XP SP3 Internet Explorer 8

【検証概要】

ターゲットシステムに、Webページを閲覧させ、Java Web Startアプリケーションを開かせることで、攻撃コードを実行させます。それによって、ターゲットシステムにおいて任意のコードを実行させます。
ターゲットシステムは、悪意のあるユーザが用意したホストに制御が誘導されます。
今回の検証に用いたコードは、ターゲットシステム上から特定のサーバ、ポートへコネクションを確立させるよう誘導し、システムの制御を奪取するものです。
これにより、リモートからターゲットシステムが操作可能となります。

＊ 誘導先のシステムはDebian 5.05 です。

【検証結果】

下図の赤線で囲まれている部分の示すように、誘導先のコンピュータ（Debian）のコンソール上にターゲットシステム（Windows XP）のプロンプトが表示されています。
黄線で囲まれている部分の示すように、ターゲットシステムにおいて、コマンドを実行した結果が表示されています。
これにより、ターゲットシステムの制御の奪取に成功したと言えます。