Java SEの既知脆弱性を悪用するコードが流通、悪用容易で影響大 - パッチ公開よりわずか2日で登場

「Java SE」の「クリティカルパッチアップデート」が4月16日に公開された。公開当時、修正対象となった脆弱性の悪用は確認されていなかったが、わずか2日で悪用コードがインターネット上に公開された。検証を行ったセキュリティ専門家は、危険性が高いとして修正済みの最新版へアップデートするよう呼びかけている。

流通する悪用コードが対象としているのは、「同7 Update 17」「同6 Update 43」「同5 Update 41」「JavaFX 2.2.7」および以前のバージョンに存在するリフレクション処理の脆弱性。メモリへのアクセス制限に問題が存在し、サンドボックス外でコードを実行されるという。ウェブやメールの添付ファイルなどを通じて、不正なJavaアプレットを開くと、コードを実行されるおそれがある。

インターネット上では、18日より悪用コードが公開されており、NTTデータ先端技術では、問題のコードについて検証を実施。リモートからシステムを奪取できることを確認した。

同社は今回の脆弱性について、悪用が容易であり、システムへ与える影響が大きいと危険性を指摘。脆弱性が修正されている最新版「同7 Update 21」「同6 Update 45」「同5 Update 43」「JavaFX 2.2.7」へアップデートするよう呼びかけている。

（Security NEXT - 2013/04/23 ） ツイート

PR

関連記事

PEARライブラリ「Archive_Tar」に脆弱性 - 「Drupal」などにも影響
「Chrome 92」で35件のセキュリティ修正
Oracle、四半期定例パッチを公開 - 脆弱性のべ342件を修正
「Windows」に権限昇格のゼロデイ脆弱性 - MSが詳細を調査
Linuxカーネルにroot権限を取得できる脆弱性 - 1Gバイト超のパス長処理で
「Citrix ADC」や「Citrix Gateway」に複数脆弱性 - 認証回避のおそれ
Adobeの複数製品に深刻な脆弱性 - 定例外でパッチ公開
「FortiManager」「FortiAnalyzer」に脆弱性 - root権限でコード実行のおそれ
Apple、macOSやスマートデバイス向けにセキュリティ更新
Windowsの「ポイントアンドプリント」にゼロデイ脆弱性 - PoC公開済み