脆弱性を解決するパッチは現時点で存在しない。セキュリティ各社はJavaを無効にするなどの対策を呼び掛けている。
Javaの未解決の脆弱性を悪用した標的型攻撃の発生が確認され、セキュリティ各社が注意を呼び掛けている。脆弱性検証ツール「Metasploit」にも、この脆弱性を突くモジュールが追加された。
この脆弱性についてはセキュリティ企業のFireEyeが8月26日のブログで伝え、Secuniaなどの各社も確認している。脆弱性は「Java Runtime Environment (JRE)7 Update 6」のビルド1.7.0_06-b24で確認され、1.7xなど他のバージョンも影響を受けるとみられる。FireEyeは1.7 Update 6をインストールした最新版のFirefoxで、この問題を悪用することに成功したという。
この脆弱性を突いてマルウェアに感染させる攻撃用のWebサイトも見つかった。こうした攻撃が拡大するのは時間の問題だとFireEyeは予想する。27日の時点でOracleはまだ、この問題を解決するためのパッチを公開していない。
脆弱性検証ツール「Metasploit」の開発チームは27日、この脆弱性のコンセプト実証コードを入手し、Metasploitの最新版にモジュールを追加したことを明らかにした。同モジュールは、MicrosoftのInternet Explorer(IE)、Mozilla Firefox、Google Chrome(Windows XP)、AppleのSafari(OS X 10.7.4)の各Webブラウザに対して通用するという。
Metasploitチームでは、Oracleのパッチが公開されるまで、Javaを無効にするなどの対策を講じるよう呼びかけている。
Copyright © ITmedia, Inc. All Rights Reserved.