過去に何度もJavaの脆弱性を発見してきたセキュリティ企業が、Oracleの「Java Cloud Service」に存在する脆弱性についての技術的詳細とコンセプト実証コードを公開した。
ポーランドのセキュリティ企業Security Explorationsは4月1日、米Oracleの「Java Cloud Service」に存在する脆弱性についての技術的詳細とコンセプト実証コードを公開したと発表した。
Security Explorationsは過去に何度もJavaの脆弱性を発見してきたセキュリティ企業。今回の情報については2カ月前にOracleに報告したにもかかわらず、Oracleからは問題の解決に関する情報提供がなかったと説明している。
「Java Cloud Serviceは正式提供開始から1年半がたったにもかかわらず、Oracleはいまだにクラウドの脆弱性対応に関するポリシーを確定していない」とSecurity Explorationsは批判。「今後もクラウドデータセンターにおける脆弱性の修正について説明するかどうかは約束できないと公言している」という。
そこで同社は、Oracleのセキュリティプロセスについて知ってもらう目的で脆弱性情報を公開することにしたという。公開された文書では、Javaのサンドボックスが回避される問題や、Java APIホワイトリストのルールが回避される問題など、30項目の脆弱性について詳しく解説している。
この問題は、2013年6月から2014年1月にかけてOracle Java Cloud Serviceを利用した顧客が影響を受けるという。Security Explorationsでは、セキュリティ対策の不備を理由としてOracleに払い戻しを要求する根拠としてこの資料を使ってほしいと顧客に呼び掛けている。
Copyright © ITmedia, Inc. All Rights Reserved.