Sunが数カ月前に対処したJavaの脆弱性が、Mac OS X 10.5.7と10.4.11ではいまだに解決されていないと研究者が指摘した。
元Appleエンジニアのセキュリティ研究者が、Mac OS X最新版でJavaの既知の脆弱性が解消されていないと指摘した。米US-CERTやセキュリティ企業のIntegoも注意を呼び掛けている。
問題になっているJavaの脆弱性は、Sun Microsystemsが数カ月前に公開したアップデートで修正済み。しかしMac OS X 10.5.7と10.4.11にはいまだに、脆弱性が修正されていないバージョンのJava仮想マシン(JVM)が組み込まれているという。
この脆弱性を突かれると、ユーザーが悪質なサイトを閲覧しただけで被害に遭う恐れがあり、攻撃者が不正なアプレットを使ってローカルユーザーの権限でファイルとアプリケーションの読み取りや書き込み、実行権限を取得できてしまう恐れがあるという。
さらに、権限昇格の脆弱性と組み合わせれば、リモートから任意のシステムレベルプロセスを実行し、Macを完全に制御することもできてしまうとIntegoは解説する。
この情報を公開したセキュリティ研究者のランドン・フラー氏は、コンセプト実証のためのJavaアプレットも併せて公開した。Integoによると、現時点でこの脆弱性を突いた不正アプレットは出回っていないもよう。しかし悪用を試みる者がいずれ現れると予想する。
US-CERTとIntegoは、Appleがパッチを公開するまでの間、ブラウザでJavaを無効にするのが最善の策だと勧告している。
Copyright © ITmedia, Inc. All Rights Reserved.