Javaアップデートを装う不正プログラムが流通：Java 7 Update 11にも脆弱性の指摘

　米Oracleは1月13日、Java 7 Update 10以前に存在する脆弱性を修正した「Java 7 Update 11」をリリースしたが、今度はそのアップデートを装った不正プログラムが流通していると、トレンドマイクロが警告を発している。

　1月18日付のトレンドラボのブログによると、Javaのアップデートプログラムを装った「javaupdate11.jar」というファイルが流通しているという。このファイルの作者は不明で。ファイルには不正な実行ファイルが含まれており、もしだまされて実行してしまうと、リモートサーバへ接続し、遠隔操作される恐れがあるという。

　ただしjavaupdate11.jarは、Javaの脆弱性そのものを悪用するわけではない。あくまで「古典的なソーシャルエンジニアリングの手口」（同社）という。

　また、Internet Storm Center（ISC）の情報によると、Oracleは脆弱性修正のためにリリースした公式アップデート、Java 7 Update 11（JRE 1.7.0_11-b21）にも、新たに2つの脆弱性が発見されたとのことだ。

　これは、Update 11で修正を図った2件の脆弱性とは別の脆弱性で、悪用するとJavaのサンドボックスがバイパスされてしまう。問題を発見したSecurity Explorationsは、実証コードとともにこの脆弱性の件をOracleにレポート済みという。