ポーランドのセキュリティ新興企業Security Explorations は、別のセキュリティホールを見つけた。これによって、ハッカーは、重大なセキュリティ対策をバイパスできる。Java SE 5, 6、7が影響を受ける。この8年間のJavaリリース全てである。この会社によれば、以下のJavaバージョンが脆弱である。
- Java SE 5 Update 22 (build 1.5.0_22-b03)
- Java SE 6 Update 35 (build 1.6.0_35-b10)
- Java SE 7 Update 7 (build 1.7.0_07-b10)
「この問題の影響は重大で、我々は見事にJava SE 5, 6,7 の環境でそれを悪用して、Javaセキュリティサンドボックスのバイパスを完全に達成した。」と Security Explorationsの Adam Gowdiak氏は書いている。
Security Explorations は、完全にパッチの当たった Windows 7 32ビット コンピュータ上で、Chrome, Firefox, Internet Explorer, Opera, Safari を使って不具合をテストした。テストはWindows 7 32ビットバージョンに限られているが、脆弱性はプラットフォームに依存しない、と氏はInfoQに正式に告げた。そして、「 Oracle のJava プラグインがインストールされ、ターゲットのwebブラウザで有効になっていれば、この不具合をサポートされている全プラットフォームで首尾よく悪用することができる。」
この不具合でハッカーができることに関して、氏が我々に言ったのは、
悪意のあるJavaアプレットやアプリケーションがこの問題を悪用すれば、webブラウザアプリケーションのようなターゲットJavaプロセスの文脈で任意に何でもできるでしょう。攻撃者は、次にログオンユーザーの権限でプログラムをインストールしたり、データを見たり、変更したり、消去できます。概念実証コードで、我々はファイルを作り、"notepad.exe"を実行しました。
Security Explorationsはこれまでに全部で50個のJavaの欠陥を見つけ、それらをここで時系列に見ることができる。氏が我々に言ったのは、これらの内、
- 31件がOracleに報告された(17ケの別々の完全なサンドボックスバイパス欠陥)
- 2件が Apple に報告された(1ケの完全なサンドボックスバイパス欠陥)
- 17件がIBMに報告された(10ケの別々の完全なサンドボックスバイパス欠陥)
この最新のはまだ実際に悪用されていると考えていないが、悪用された他のものに対して、先月Oracleはパッチを提供した 。 伝えられたところによれば、Oracleが脆弱性を知ってから4ヶ月も経っている。修正が2012年10月16日に予定されている次のJavaSEアップデートに含まれるのかどうか知るのは、興味深い。我々はOracleにコンタクトして、コメントを求めたが、公開時点では何の返事も受け取っていない。