Oracle Java Cloudサービスに脆弱性情報、セキュリティ企業が公開
過去に何度もJavaの脆弱性を発見してきたセキュリティ企業が、Oracleの「Java Cloud Service」に存在する脆弱性についての技術的詳細とコンセプト実証コードを公開した。
ポーランドのセキュリティ企業Security Explorationsは4月1日、米Oracleの「Java Cloud Service」に存在する脆弱性についての技術的詳細とコンセプト実証コードを公開したと発表した。
Security Explorationsは過去に何度もJavaの脆弱性を発見してきたセキュリティ企業。今回の情報については2カ月前にOracleに報告したにもかかわらず、Oracleからは問題の解決に関する情報提供がなかったと説明している。
「Java Cloud Serviceは正式提供開始から1年半がたったにもかかわらず、Oracleはいまだにクラウドの脆弱性対応に関するポリシーを確定していない」とSecurity Explorationsは批判。「今後もクラウドデータセンターにおける脆弱性の修正について説明するかどうかは約束できないと公言している」という。
そこで同社は、Oracleのセキュリティプロセスについて知ってもらう目的で脆弱性情報を公開することにしたという。公開された文書では、Javaのサンドボックスが回避される問題や、Java APIホワイトリストのルールが回避される問題など、30項目の脆弱性について詳しく解説している。
この問題は、2013年6月から2014年1月にかけてOracle Java Cloud Serviceを利用した顧客が影響を受けるという。Security Explorationsでは、セキュリティ対策の不備を理由としてOracleに払い戻しを要求する根拠としてこの資料を使ってほしいと顧客に呼び掛けている。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- ゼロトラストの最新トレンド5つをガートナーが発表
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
- OpenAI Japan設立 岸田首相への宣言から1年 日本語特化GPT提供へ 速度3倍コスト半減
ITmediaはアイティメディア株式会社の登録商標です。