BT

InfoQ ホームページ ニュース Javaは、最新のパッチでもまだ脆弱である

Javaは、最新のパッチでもまだ脆弱である

ブックマーク

原文(投稿日:2013/04/24)へのリンク

最新の修正後わずか数日で、セキュリティ研究者のAdam Gowdiak氏はまた別の脆弱性を発見した。公開ポストで氏は、Reflection APIの欠陥が全バージョンのJava SE 7に影響し、「ターゲットシステム上で完全にJavaのセキュリティサンドブックスをバイパスできる」と言っている。脆弱性は、プラグイン/JDK ソフトウェアの両方に存在し、サーバーJREにも存在する。ウェブブラウザ経由での攻撃には、ユーザーが「セキュリティ警告ウィンドウが表示された時、潜在的に悪意のあるJavaアプリケーションを実行するリスクを受け入れる」必要がある、と書いている。

Gowdiak氏は、彼の会社Security Explorationsが脆弱性レポートと概念実証コードをOracleに送った、と言っている。

Security Explorationsが最初にOracleにJava SE 7 と特にReflections APIについて連絡したのは、2012年の4月に遡る。しかし、氏によると、「Oracleは、「許可された」クラスの空間(すなわち、信頼出来ないアプレットと Web Startアプリケーションの類ががアクセスするクラス)における潜在的に危険なReflection APIコールを潰すことに注力しているようだった。」

この最新の脆弱性がServer JREに影響する、という事実が幾分妙なものになった。Oracleは、 パッチをリリースして更に42の欠陥を修正した。その内の19は、会社が評価に使用しているCVSSのメトリックによるとランク10 (最も重大) であった。しかしこれらの攻撃の多くは、クライアントサイドのJavaに適用でき、信頼出来ないアプレットとWeb Startアプリケーションからのみ攻撃できる。

これら用のパッチは時間に間に合った。アンチウイルス提供会社の F-Secureの研究者であるTimo Hirvonen氏が公開した短いブログ記事によると、リモートカラのコード実行の脆弱性(CVE-2013-2423) の1つを使った攻撃が世の中に現れ始めたのは、恐らくCrimeBossCool CritX 攻撃キット、そして侵入テスト製品Metasploitに加えられた後である。RedKitも、一点報告されたが、Hirvonen氏はInfoQにこれは F-Secureの自動ツールの誤認が原因である、と明言した。

このニュースは、Javaのセキュリティ前線における困難な数ヶ月を追っている。否定的な報道の数カ月後、Oracleが最近指名したJava Securityのトップである Milton Smith氏が電話会議で1月に、Oracleは問題の修正とコミュニティメンバーとのコミュニケーションの改善に注力すべきだった、と言った。

翌月、Javaが賑わしたのは、Javaにおけるゼロデイ欠陥がハッカーによって悪用され、複数の会社が攻撃された時である。その中にはApple, Facebook, Microsoft そして恐らくTwitterも含まれている。

Oracleが進行中のJavaのセキュリティ問題との戦いにもっとリソースを集中する必要がある。このことがJDK 8が2014年にずれ込む理由として挙げられている

InfoQ は、Oracleにこの話にコメントするように言ったが、拒否された。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

BT

あなたのプロファイルは最新ですか?プロフィールを確認してアップデートしてください。

Eメールを変更すると確認のメールが配信されます。

会社名:
役職:
組織規模:
国:
都道府県:
新しいメールアドレスに確認用のメールを送信します。このポップアップ画面は自動的に閉じられます。