情報処理推進機構（IPA）とJPCERT コーディネーションセンターは4月13日、Oracle Sun Java Deployment Toolkitにセキュリティ上の新たな問題が見つかったと発表した。

　この問題は、launch()メソッドの引数の検証処理に起因するもので、launch()メソッドからJava Web Startユーティリティ（javaws.exe）に任意の引数を渡すことができてしまうという。攻撃者が悪用した場合、ユーザーが細工されたHTMLを閲覧してしまうことで、リモートから任意のJARファイルを実行されてしまう危険がある。

　Java Deployment Toolkitは、Java SE 6 update 10以降をインストールした際に同時にインストールされる。ブラウザのプラグインやActive-X コントロールとしても利用されるため、Microsoft Internet ExplorerやFirefox、Google ChromeなどWindowsベースの多数のブラウザに影響が及ぶ可能性がある。

　米Oracleの対応は未定。IPAとJPCERT コーディネーションセンターは当面の回避策として、ActiveX コントロールやブラウザのJava Deployment Toolkitを無効にすることを推奨している。

ソース　ＩＴメディア
http://www.itmedia.co.jp/enterprise/articles/1004/13/news072.html

すでに、Oracle、「Java Runtime Environment (JRE)」の脆弱性修正版6 Update 20 を公開しておりますので、まだの方はすぐにアップグレードすることをお勧めいたします。