悪意あるWebサイトにアクセスするだけで攻撃の恐れ

Java 7に未パッチの脆弱性、MacやLinuxにも影響

2012/08/28

 Java 7に、任意のコード実行につながる恐れのある深刻な脆弱性が報告された。すでにこの脆弱性を利用した攻撃が報告されている一方で、開発元のオラクルからは、パッチなどの修正方法はまだ提供されていない。セキュリティ組織では、WebブラウザのJavaプラグインを無効にするといった回避策を推奨している。

 IPAとJPCERT/CCが運営している脆弱性情報サイト、JVNによると、この脆弱性が存在するのは、Java SE Development Kit(JDK 7)やJava SE Runtime Environment(JRE 7)を含む、Java Platform Standard Edition 7(1.7、1.7.0)。これらのJavaがインストールされたWebブラウザで、攻撃者が細工を施したWebページにアクセスすると、脆弱性が悪用される。この結果、サンドボックスを回避して任意のコードが実行され、マルウェアなどに感染する恐れがある。

 この脆弱性を8月26日に報告したセキュリティベンダの米FireEyeは、最新のJRE version 1.7 update 6をインストールしたFirefoxで、実際に攻撃が可能であることを検証した。また、脆弱性検証ツール「Metasploit」の開発チームも攻撃実証コードを検証。Windows XP/Vista/7とIEだけでなく、Ubuntu Linux 10.04とFirefoxの組み合わせや、Mac OS X 10.7.4とSafariの組み合わせについても攻撃が可能という。

 米FireEyeによれば、すでにこの脆弱性を悪用するWebサイト(IPアドレスによれば中国に位置する)が活動しており、感染すると、シンガポールに置かれたC&Cサーバとの通信を試みるという。

 セキュリティベンダでは、オラクルが脆弱性を修正するパッチを公開するまでの間、Javaを無効にすることを推奨している。

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH