OpenJDK |
19日(米国時間)、Soylatteの開発者であるLandon Fuller氏が自身のブログにおいて、AppleのJDKとSoylatte 1.0.3にはCVE-2008-5353の脆弱性が残ったままになっており、たとえばアプレットのSandboxから抜け出して任意のコードが実行できることを伝えている。先日発表されたOpenJDK6 for MacOS Xでは同脆弱性は修正されているため、Mac OS XでApple JDKかまたはSoylatteを使っている場合には移行を検討した方がいいといえる。
SoylatteはFreeBSD Javaの移植パッチをMac OS X向けに適用したもの。FreeBSD JavaパッチのライセンスをJRLからGPLに変更してOpenJDKへのマージが実施されたため、現在ではOpenJDKがMac OS XやFreeBSDなどの*BSD系OSで動作するようになっている。
Landon Fuller氏はブログで実際にアプレットからシステム上の/usr/bin/sayが実行されるデモンストレーションを公開している。デモが動作するようなら脆弱性が残っているため、OpenJDK6に切り替えるといった対策が必要といえる。