Java SEの既知脆弱性を悪用するコードが流通、悪用容易で影響大 - パッチ公開よりわずか2日で登場

「Java SE」の「クリティカルパッチアップデート」が4月16日に公開された。公開当時、修正対象となった脆弱性の悪用は確認されていなかったが、わずか2日で悪用コードがインターネット上に公開された。検証を行ったセキュリティ専門家は、危険性が高いとして修正済みの最新版へアップデートするよう呼びかけている。

流通する悪用コードが対象としているのは、「同7 Update 17」「同6 Update 43」「同5 Update 41」「JavaFX 2.2.7」および以前のバージョンに存在するリフレクション処理の脆弱性。メモリへのアクセス制限に問題が存在し、サンドボックス外でコードを実行されるという。ウェブやメールの添付ファイルなどを通じて、不正なJavaアプレットを開くと、コードを実行されるおそれがある。

インターネット上では、18日より悪用コードが公開されており、NTTデータ先端技術では、問題のコードについて検証を実施。リモートからシステムを奪取できることを確認した。

同社は今回の脆弱性について、悪用が容易であり、システムへ与える影響が大きいと危険性を指摘。脆弱性が修正されている最新版「同7 Update 21」「同6 Update 45」「同5 Update 43」「JavaFX 2.2.7」へアップデートするよう呼びかけている。

（Security NEXT - 2013/04/23 ） ツイート

PR

関連記事

「Ruby」に3件の脆弱性、アップデートで修正を実施
Node.js向けMySQLクライアント「MySQL2」に脆弱性
「GitLab」に複数脆弱性 - セキュリティパッチをリリース
国家関与のサイバー攻撃「ArcaneDoor」 - 初期侵入経路は不明、複数ゼロデイ脆弱性を悪用
「PAN-OS」の脆弱性侵害、段階ごとの対策を説明 - Palo Alto
国内でも被害発生、「ColdFusion」の既知脆弱性狙う攻撃
バッファロー製ルータに脆弱性 - パスワード取得、コマンド実行のおそれ
米政府、悪用が確認された脆弱性3件について注意喚起
「Cisco ASA」「FTD」に複数脆弱性 - ゼロデイ攻撃も発生
「Chrome」にアップデート - 「クリティカル」の脆弱性などを解消