Oracle JInitiatorに深刻な脆弱性

悪用されると、任意のコードを実行される恐れがある。現時点では実質的な解決策は存在しない。

[ITmedia]

　JInitiatorは、ブラウザ内でOracle Developer Serverアプリケーションを実行するためのツール。US-CERTのアドバイザリーによると、これに含まれる「beans.ocx」というActiveXコントロールに、スタックバッファオーバーフローの脆弱性が複数存在する。

　問題を悪用されると、リモートの認証を受けない攻撃者が、ユーザーの権限で任意のコードを実行することが可能になる。

　脆弱性があるのは1.1.8.16とそれ以前のバージョン。ただし、それ以降のバージョンをインストールしても、脆弱性のあるバージョンのコントロールは削除されないという。

　現時点で実質的な解決策は存在せず、US-CERTは回避策として、Internet Explorer（IE）でCLSIDのキルビットを設定する方法などを紹介している。

　リスク評価は仏FrSIRTが4段階で最も高い「Critical」、Secuniaが5段階で上から2番目の「Highly critical」となっている。