BT

2年ぶりのJavaゼロデイ脆弱性

| 作者: Abraham Marín Pérez フォローする 9 人のフォロワー , 翻訳者 大田 緑 - (株)チェンジビジョン フォローする 1 人のフォロワー 投稿日 2015年8月25日. 推定読書時間: 2 分 |

原文(投稿日:2015/08/08)へのリンク

サンドボックスのJava Web StartアプリケーションやサンドボックスのJavaアプレットに影響するゼロデイ脆弱性が最近発表された。これは、2年ぶりのゼロデイ脆弱性だ。この脆弱性は簡単に攻撃されるものであり、すでに攻撃を受けているという懸念から、最高のCVSSリスクスコアが与えられた。Oracleはパッチを提供し、できるだけ早くアップグレードするようユーザに求めている。

CVE-2015-2590として識別されたこの脆弱性は、NATOや米国防衛組織に送られた多数のEメールを分析後、Trend MicroのSmart Protection Networkによって発見された。Eメールは前述の脆弱性を攻撃するJavaアプレットが埋め込まれたウェブサイトを示すリンクを含み、被害者のコンピュータでリモートコードが実行されるようになっていた。

この脆弱性は、Javaランタイム全体に影響するものではなく、Java Web StartアプリケーションとJavaアプレットにのみ影響するものであることを知っておいてほしい。サーバやローカルでJavaアプリケーションを実行するクライアントは影響を受けない。つまり、上記のアプリケーションを含むウェブサイトを参照していないユーザはリスクがない。問題のウェブサイトを参照したユーザに対して、Oracleは、ユーザのプロファイルに応じて、2つのレベルのリスクを確認した

この攻撃はコードが実行ユーザによって実行されるため、攻撃の影響範囲は、ユーザがアドミニストレータの権限を持っているかどうかで異なる。LinuxやSolaris、Windows Vista以降のWindowsにおいて、ユーザは、通常、アドミニストレータ権限を持たない。(Windows Vista以降のユーザは、そのような権限を持つかもしれないが、上位モードに入るためには明示的な確認が必要とされる) このような場合、OracleのCVSSスコアは10のうち7.5だ。しかし、まだ多くのユーザに使われているWindows XPのようなシステムは、通常、標準ユーザにアドミニストレータ権限が与えられているため、コードのリモート実行には非常に脆弱だ。このようなプロファイルを持つ場合、Oracleは10のうち10のスコアを与えた。

Oracleは、7月14日に定期的なCPU (Critical Patch Update) の一部として、この脆弱性の修正をリリースした。CPUは四半期ごとにリリースされ、前四半期に修正された脆弱性の修正が含まれる。この修正は、おそらく脆弱性の発見と定期的なアップデートの日が近かったため、定期的なアップグレードの一部としてリリースされた。脆弱性が別の時期に発見されていたら、CVE-2013-1493と同じように、Oracleは不定期のセキュリティアラートアップデートをリリースしただろう。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT