BT

1週間で、またJavaのセキュリティホールが見つかる

| 作者: Charles Humble フォローする 798 人のフォロワー , 翻訳者 編集部N フォローする 0 人のフォロワー 投稿日 2012年10月9日. 推定読書時間: 2 分 |

原文(投稿日:2012/10/04)へのリンク

 

ポーランドのセキュリティ新興企業Security Explorations は、別のセキュリティホールを見つけた。これによって、ハッカーは、重大なセキュリティ対策をバイパスできる。Java SE 5, 6、7が影響を受ける。この8年間のJavaリリース全てである。この会社によれば、以下のJavaバージョンが脆弱である。

  • Java SE 5 Update 22 (build 1.5.0_22-b03)
  • Java SE 6 Update 35 (build 1.6.0_35-b10)
  • Java SE 7 Update 7 (build 1.7.0_07-b10)

「この問題の影響は重大で、我々は見事にJava SE 5, 6,7 の環境でそれを悪用して、Javaセキュリティサンドボックスのバイパスを完全に達成した。」と Security Explorationsの Adam Gowdiak氏は書いている

Security Explorations は、完全にパッチの当たった Windows 7 32ビット コンピュータ上で、Chrome, Firefox, Internet Explorer, Opera, Safari を使って不具合をテストした。テストはWindows 7 32ビットバージョンに限られているが、脆弱性はプラットフォームに依存しない、と氏はInfoQに正式に告げた。そして、「 Oracle のJava プラグインがインストールされ、ターゲットのwebブラウザで有効になっていれば、この不具合をサポートされている全プラットフォームで首尾よく悪用することができる。」

この不具合でハッカーができることに関して、氏が我々に言ったのは、

悪意のあるJavaアプレットやアプリケーションがこの問題を悪用すれば、webブラウザアプリケーションのようなターゲットJavaプロセスの文脈で任意に何でもできるでしょう。攻撃者は、次にログオンユーザーの権限でプログラムをインストールしたり、データを見たり、変更したり、消去できます。概念実証コードで、我々はファイルを作り、"notepad.exe"を実行しました。

Security Explorationsはこれまでに全部で50個のJavaの欠陥を見つけ、それらをここで時系列に見ることができる。氏が我々に言ったのは、これらの内、

  • 31件がOracleに報告された(17ケの別々の完全なサンドボックスバイパス欠陥)
  • 2件が Apple に報告された(1ケの完全なサンドボックスバイパス欠陥)
  • 17件がIBMに報告された(10ケの別々の完全なサンドボックスバイパス欠陥)

この最新のはまだ実際に悪用されていると考えていないが、悪用された他のものに対して、先月Oracleはパッチを提供した 。 伝えられたところによれば、Oracleが脆弱性を知ってから4ヶ月も経っている。修正が2012年10月16日に予定されている次のJavaSEアップデートに含まれるのかどうか知るのは、興味深い。我々はOracleにコンタクトして、コメントを求めたが、公開時点では何の返事も受け取っていない。

 

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT