悪用されると、任意のコードを実行される恐れがある。現時点では実質的な解決策は存在しない。
JInitiatorは、ブラウザ内でOracle Developer Serverアプリケーションを実行するためのツール。US-CERTのアドバイザリーによると、これに含まれる「beans.ocx」というActiveXコントロールに、スタックバッファオーバーフローの脆弱性が複数存在する。
問題を悪用されると、リモートの認証を受けない攻撃者が、ユーザーの権限で任意のコードを実行することが可能になる。
脆弱性があるのは1.1.8.16とそれ以前のバージョン。ただし、それ以降のバージョンをインストールしても、脆弱性のあるバージョンのコントロールは削除されないという。
現時点で実質的な解決策は存在せず、US-CERTは回避策として、Internet Explorer(IE)でCLSIDのキルビットを設定する方法などを紹介している。
リスク評価は仏FrSIRTが4段階で最も高い「Critical」、Secuniaが5段階で上から2番目の「Highly critical」となっている。
Copyright © ITmedia, Inc. All Rights Reserved.