Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Java SE 7」に未修正の脆弱性 - ゼロデイ攻撃発生中

「Java SE 7」に未修正の脆弱性が存在していることがわかった。ゼロデイ攻撃も発生しており、セキュリティ専門機関やベンダーが注意を呼びかけている。

脆弱性情報サイト「JVN」によれば、今回明らかになった「CVE-2013-0422」は、「JDK 7」「JRE 7」において、サンドボックスを回避され、任意のコードを実行されるおそれがある脆弱性。

ウェブ経由でブラウザにJavaアプレットを読み込ませたり、ファイルを直接開いた場合に攻撃を受けるおそれがある。すでに悪用コードが流通しており、攻撃が確認されている。

今回の問題を受け、NTTデータ先端技術では実際にシステムを用いて脆弱性について検証を実施。再現性を確認した。攻撃は容易であり、システム与える影響も大きいという。

1月11日の時点で、脆弱性を修正するアップデートは提供されておらず、最新セキュリティ対策ソフトの利用や、不必要なウェブへのアクセスを避けるといった基本的な対策にくわえ、ウェブブラウザの「Javaプラグインを無効にする」など、回避策の実施を呼びかけている。

(Security NEXT - 2013/01/11 ) このエントリーをはてなブックマークに追加

PR

関連記事

全日空のiOSアプリに脆弱性 - 中間者攻撃受けるおそれ
「Flash Player」狙いのゼロデイ攻撃、3カ月前から準備か - 給与関連書類を偽装、C&Cは偽求人サイト
CMSの「Zenphoto」にコード実行の脆弱性 - 最新版で修正
「BIND 9」が意図せずオープンリゾルバとなるおそれ - 設定の確認を
MS、AMDプロセッサ向けに「Spectre」緩和策を追加
「Chrome」に重要度「高」の脆弱性 - アップデートがリリース
「OpenSSL」にDoS攻撃受ける脆弱性 - 修正は次期アップデートで
MS、6月の月例パッチをリリース - 脆弱性1件が公開済み、悪用は未確認
Windows版LINEにリンクでDLL読込パスを指定できる脆弱性 - すでに修正済み
スマートデバイス向け「VMware AirWatch Agent」に深刻な脆弱性