Javaの脆弱性を突く新たな攻撃、Java 6のパッチは存在せず

セキュリティ専門家は「JRE6のパッチは存在しない。アンインストールするか、JRE7 Update 25に更新を」と呼び掛けた。

» 2013年09月02日 07時30分 公開
[鈴木聖子,ITmedia]

 さまざまな脆弱性の悪用を狙った攻撃ツールの「Neutrino」に、Javaの既知の脆弱性を悪用する機能が加わった。Java 6ではこの脆弱性が修正されていないことから、セキュリティ各社は改めて、最新版のJava 7にアップグレードするよう促している。

 セキュリティ企業F-Secureの研究者は8月26日、TwitterでJavaの脆弱性(CVE-2013-2463)を突くコンセプト実証コードが公開され、Neutrinoにこの脆弱性を突くコードが実装されたと報告した。「JRE6のパッチは存在しない。アンインストールするか、JRE7 Update 25に更新を」と呼び掛けた。

 CVE-2013-2463は、Oracleが6月の定例パッチで修正した脆弱性で、危険度は極めて高い。影響を受けるのは「Java 7 Update 21」「Java 6 Update 45」「Java 5.0 Update 45」までのバージョン。Java最新版の「Java SE 7 Update 25」(1.7.0_25)ではこの問題が修正されたが、Java 6は一般向けのサポートが既に打ち切られており、脆弱性を解決するためにはJava 7にアップグレードする必要がある。

 Java 6はOracleが一般向けのサポートを打ち切った後も、依然して使い続けているユーザーが多く、攻撃の標的となる危険性が以前から指摘されていた。

 Javaの脆弱性に詳しいSecurity Explorationsの専門家は、Kaspersky Labのニュースサービスthreatpostの取材に対し、「Java SE 6は企業の間で依然として広く使われているが、サポートやセキュリティ問題の修正は有料契約を結んでいる顧客にしか提供されない。このためJava SE 6は攻撃者の格好の標的となっている」と警鐘を鳴らしている。

関連キーワード

Java | 脆弱性


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ