BT

Javaは、最新のパッチでもまだ脆弱である

| 作者: Charles Humble フォローする 929 人のフォロワー , 翻訳者 編集部N フォローする 0 人のフォロワー 投稿日 2013年5月7日. 推定読書時間: 2 分 |

原文(投稿日:2013/04/24)へのリンク

最新の修正後わずか数日で、セキュリティ研究者のAdam Gowdiak氏はまた別の脆弱性を発見した。公開ポストで氏は、Reflection APIの欠陥が全バージョンのJava SE 7に影響し、「ターゲットシステム上で完全にJavaのセキュリティサンドブックスをバイパスできる」と言っている。脆弱性は、プラグイン/JDK ソフトウェアの両方に存在し、サーバーJREにも存在する。ウェブブラウザ経由での攻撃には、ユーザーが「セキュリティ警告ウィンドウが表示された時、潜在的に悪意のあるJavaアプリケーションを実行するリスクを受け入れる」必要がある、と書いている。

Gowdiak氏は、彼の会社Security Explorationsが脆弱性レポートと概念実証コードをOracleに送った、と言っている。

Security Explorationsが最初にOracleにJava SE 7 と特にReflections APIについて連絡したのは、2012年の4月に遡る。しかし、氏によると、「Oracleは、「許可された」クラスの空間(すなわち、信頼出来ないアプレットと Web Startアプリケーションの類ががアクセスするクラス)における潜在的に危険なReflection APIコールを潰すことに注力しているようだった。」

この最新の脆弱性がServer JREに影響する、という事実が幾分妙なものになった。Oracleは、 パッチをリリースして更に42の欠陥を修正した。その内の19は、会社が評価に使用しているCVSSのメトリックによるとランク10 (最も重大) であった。しかしこれらの攻撃の多くは、クライアントサイドのJavaに適用でき、信頼出来ないアプレットとWeb Startアプリケーションからのみ攻撃できる。

これら用のパッチは時間に間に合った。アンチウイルス提供会社の F-Secureの研究者であるTimo Hirvonen氏が公開した短いブログ記事によると、リモートカラのコード実行の脆弱性(CVE-2013-2423) の1つを使った攻撃が世の中に現れ始めたのは、恐らくCrimeBossCool CritX 攻撃キット、そして侵入テスト製品Metasploitに加えられた後である。RedKitも、一点報告されたが、Hirvonen氏はInfoQにこれは F-Secureの自動ツールの誤認が原因である、と明言した。

このニュースは、Javaのセキュリティ前線における困難な数ヶ月を追っている。否定的な報道の数カ月後、Oracleが最近指名したJava Securityのトップである Milton Smith氏が電話会議で1月に、Oracleは問題の修正とコミュニティメンバーとのコミュニケーションの改善に注力すべきだった、と言った。

翌月、Javaが賑わしたのは、Javaにおけるゼロデイ欠陥がハッカーによって悪用され、複数の会社が攻撃された時である。その中にはApple, Facebook, Microsoft そして恐らくTwitterも含まれている。

Oracleが進行中のJavaのセキュリティ問題との戦いにもっとリソースを集中する必要がある。このことがJDK 8が2014年にずれ込む理由として挙げられている

InfoQ は、Oracleにこの話にコメントするように言ったが、拒否された。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT