Javaにまたもセキュリティ問題、未解決の脆弱性報告

[鈴木聖子，ITmedia]

　ポーランドのセキュリティ企業Security Explorationsは4月22日、米OracleのJava SEにまた新たなセキュリティ問題が見つかったとして、セキュリティメーリングリストの「Full Disclosure」で概略を公表した。

　Security Explorationsによれば、新たに見つかった脆弱性はJavaのリフレクションAPIに関連するもので、4月16日に公開されたJava最新版の「Java 7 Update 21」（1.7.0_21）も影響を受けるという。この問題を悪用すれば、Javaのセキュリティ対策であるサンドボックスを完全に迂回することが可能だとしている。

　この問題はJREプラグインやJDKソフトウェアだけでなく、最近発表されたサーバ版のJREにも存在するとSecurity Explorationsは指摘する。この脆弱性情報は、コンセプト実証コードを添えてOracleに提供したという。

　Security Exploratは過去に何度もJavaの脆弱性を発見してきたセキュリティ企業。リフレクションAPIの問題については、「Oracleに対して2012年4月に問題を報告したにもかかわらず、1年たった今でもJavaリフレクションAPIベースの脆弱性が見つかっている」とOracleの対応を批判している。

　Javaは次々に新たな脆弱性が発覚し、攻撃の格好の標的にされている状況だ。Security Exploratの情報とは別に、フィンランドのセキュリティ企業F-Secureは4月23日、Oracleの定例パッチで16日に修正された脆弱性のうちの1件が、既に悪用されているのを発見したと伝えた。

　F-Secureの調査によると、この脆弱性を突くコードは21日から出回り始め、23日現在も悪用が続いているという。