セキュリティ企業AVG Technologiesは4月14日(現地時間)、Sun Java Deployment Toolkitの脆弱性を突いた攻撃が発生したもようだとブログで伝えた。
同社最高調査責任者のロジャー・トンプソン氏によると、脆弱性を発見した研究者がOracle側に問題を知らせたが、臨時パッチで対処する予定はないとの返答を受け、コンセプト実証(PoC)コードの公開に踏み切った。その5日後に、ロシアの攻撃サーバにこのコードが仕掛けられているのを発見したという。
攻撃には楽曲の歌詞を掲載しているサイトが利用され、リアーナやアッシャーといった人気歌手の歌詞を使ってユーザーをおびき寄せる手口が使われている。トンプソン氏は、「同様の攻撃が続発するのは必至だ」と臨時パッチの必要性を訴えている。
今回悪用されているのは、2008年4月にリリースされたJava 6 update 10の「Java Web Start」という機能。同機能を使ってWebサイトからプログラムを実行できるようになったため、「攻撃側にも便利な機能として使われてしまった」とトンプソン氏は指摘している。
変更履歴……初出で「同社の研究者」とありましたが、正しくは「同社の」ではございません。お詫びして訂正いたします。
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.