Javaの未解決の脆弱性を悪用した標的型攻撃の発生が確認され、セキュリティ各社が注意を呼び掛けている。脆弱性検証ツール「Metasploit」にも、この脆弱性を突くモジュールが追加された。
この脆弱性についてはセキュリティ企業のFireEyeが8月26日のブログで伝え、Secuniaなどの各社も確認している。脆弱性は「Java Runtime Environment (JRE)7 Update 6」のビルド1.7.0_06-b24で確認され、1.7xなど他のバージョンも影響を受けるとみられる。FireEyeは1.7 Update 6をインストールした最新版のFirefoxで、この問題を悪用することに成功したという。
この脆弱性を突いてマルウェアに感染させる攻撃用のWebサイトも見つかった。こうした攻撃が拡大するのは時間の問題だとFireEyeは予想する。27日の時点でOracleはまだ、この問題を解決するためのパッチを公開していない。
脆弱性検証ツール「Metasploit」の開発チームは27日、この脆弱性のコンセプト実証コードを入手し、Metasploitの最新版にモジュールを追加したことを明らかにした。同モジュールは、MicrosoftのInternet Explorer(IE)、Mozilla Firefox、Google Chrome(Windows XP)、AppleのSafari(OS X 10.7.4)の各Webブラウザに対して通用するという。
Metasploitチームでは、Oracleのパッチが公開されるまで、Javaを無効にするなどの対策を講じるよう呼びかけている。
関連記事
- OracleがJavaのアップデートをリリース、Mac向けにも初の直接提供
今回から初めて、Mac OS X向けのJavaアップデートもWindowsと同様にOracleのWebサイトから直接ダウンロード提供する。 - 給与管理担当者を狙う詐欺メールが流通、Javaの脆弱性を突く攻撃広がる
給与管理会社の社名をかたった詐欺メールのリンクをクリックすると、Javaの脆弱性の悪用コードを仕掛けたWebサイトに誘導される。 - Mac狙いのマルウェア、Macで未解決のJavaの脆弱性を悪用
Macを狙ったマルウェア「Flashback」の亜種が悪用したJavaの脆弱性は、Windows版では修正されたが、Mac版のアップデートはまだ公開されていなかった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.