ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

Javaのセキュリティ機能は攻撃を阻止できない? セキュリティ企業が報告

» 2013年01月29日 07時36分 公開
[鈴木聖子,ITmedia]

 米OracleがJavaに実装したセキュリティ対策について、「不正なJavaアプレットなどを使ってユーザーが気付かないうちに仕掛けられる攻撃を阻止できないことが分かった」とセキュリティ企業が伝えている。この情報は、ポーランドのセキュリティ企業Security Explorationsが1月27日にセキュリティメーリングリストの「Full Disclosure」に投稿した。

 問題にしているのは、Oracleが2012年12月に公開した「Java SE 7 Update 10」に盛り込んだセキュリティ強化措置。同アップデートでは無署名のJavaアプレットなどの扱いについて4段階のセキュリティレベルを設定できるようになり、最高レベルの「Very High」に設定すると無署名のアプリの実行が阻止されるようになった。

 さらに、1月にリリースした最新版の「Java 7 Update 11」では、セキュリティレベルの初期設定を「中(M)」から「高(High)」に変更し、無署名のJavaアプリを実行しようとすると警告メッセージが表示されるようにした。

 しかし、Security Explorationsはこうしたセキュリティ対策について、「理論上のものに過ぎず、実際にはセキュリティレベルの設定に応じた警告メッセージを表示させることなく、無署名の悪質なJavaコードを実行することが可能」だと主張する。

 実際に同社は、セキュリティレベルの設定にかかわりなく、無署名のJavaコードをWindows上で実行することに成功したと報告。同社は先に、Java 7 Update 11の未解決の脆弱性を発見したと伝えており、Windows 7上でセキュリティレベルを「Very High」に設定した状態で、この脆弱性が悪用できることを実証したとしている。

 結論としてSecurity Explorationsは、Java SE 7のセキュリティ機能が強化されても、不正なJavaプラグインを使ってユーザーが気付かないうちに仕掛けられる攻撃を防ぐことはできないと解説。Javaコンテンツが必要な場合は、一部のWebブラウザが実装している「Click to Play」を活用することを勧めている。

関連キーワード

Java | 脆弱性 | 警告


Copyright © ITmedia, Inc. All Rights Reserved.