セキュリティ研究者らは、広く普及しているJavaソフトウェアに新たな脆弱性を発見した。悪用されれば、攻撃者にコンピュータへのアクセスを許してしまうおそれがある。
米コンピュータ緊急事態対策チーム(US-CERT)は米国時間1月10日に警告を発し、「Java 7 Update 10」およびそれ以前のバージョンのソフトウェアにある種の脆弱性が含まれており、悪用されれば認証されていないリモート攻撃者に任意のコードを実行されてしまうおそれがあると述べた。この攻撃は、セキュリティホールを利用する悪意のあるコードが仕組まれたウェブサイトをユーザーが訪問した場合に行われる可能性がある。
この脆弱性はすでに「実際に」攻撃を受けており(つまり現実世界の脅威なのだ)、悪意のあるユーザーが簡単に攻撃を実行できるようにするためのエクスプロイトキットに組み込まれている。
Javaを開発するOracleはまだ脆弱性への修正を公開していないため、研究者らは、当面Javaを無効にするようユーザーに呼びかけている。
今回のゼロデイ脆弱性は、Malware don't need Coffeeというサイトの「Kafeine」というブロガーによってUS-CERTに報告された。Computerworldの記事によると、このエクスプロイトはAlienVault LabsとBitdefenderによって確認されたという(AlienVault Labsに問題を報告したのもKafeineだった)。
米CNETはOracleにコメントを求めているが、本稿掲載時点で回答は得られていない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス