ニュース
» 2013年01月11日 17時31分 UPDATE

ブラウザ設定変更で無効化を推奨:Java 7に未パッチの脆弱性、すでに攻撃も発生

US-CERTは米国時間の1月10日、Java 7 Update 10以前に、任意のコード実行につながる深刻な脆弱性が存在することを報告し、注意を呼び掛けた。

[@IT]

 US-CERTは米国時間の1月10日、Java 7 Update 10以前に、任意のコード実行につながる深刻な脆弱性が存在することを報告し、注意を呼び掛けた。まだOracleからはパッチは提供されていない一方で、すでにこの脆弱性を悪用したコードが出回っているという。

 脆弱性が存在するのは、Java Management Extensions(JMX)MBeanコンポーネントだ。この脆弱性を悪用すると、信頼できないJavaアプレットからでもSecurity Managerのファンクションを呼び出し、権限を昇格できてしまう。最終的には、例えば細工を施したWebページを閲覧するだけで、リモートから任意のコードを実行できてしまうおそれがある。CVSSによる深刻度評価は、最高値の「10.0」となっている。

 すでに、「Blackhole」「Cool」といったツールキットで、この脆弱性を悪用するコードが実装されている。

 日本時間の1月11日時点では、Oracleによる修正パッチは提供されていない。US-CERTでは、Webブラウザの設定を変更し、Javaを無効にする回避策を取るよう推奨している。Internet Storm Center(ISC)はブログの中で、今後もこうした脆弱性が発見される可能性に言及し、「もし、Javaを必要とするビジネスクリティカルアプリケーションがあれば、代替策を見つける方がいい」と述べている。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。