Javaに未解決の脆弱性が発覚、標的型攻撃に利用される

脆弱性を解決するパッチは現時点で存在しない。セキュリティ各社はJavaを無効にするなどの対策を呼び掛けている。

» 2012年08月28日 07時29分 公開
[鈴木聖子,ITmedia]

 Javaの未解決の脆弱性を悪用した標的型攻撃の発生が確認され、セキュリティ各社が注意を呼び掛けている。脆弱性検証ツール「Metasploit」にも、この脆弱性を突くモジュールが追加された。

 この脆弱性についてはセキュリティ企業のFireEyeが8月26日のブログで伝え、Secuniaなどの各社も確認している。脆弱性は「Java Runtime Environment (JRE)7 Update 6」のビルド1.7.0_06-b24で確認され、1.7xなど他のバージョンも影響を受けるとみられる。FireEyeは1.7 Update 6をインストールした最新版のFirefoxで、この問題を悪用することに成功したという。

 この脆弱性を突いてマルウェアに感染させる攻撃用のWebサイトも見つかった。こうした攻撃が拡大するのは時間の問題だとFireEyeは予想する。27日の時点でOracleはまだ、この問題を解決するためのパッチを公開していない。

 脆弱性検証ツール「Metasploit」の開発チームは27日、この脆弱性のコンセプト実証コードを入手し、Metasploitの最新版にモジュールを追加したことを明らかにした。同モジュールは、MicrosoftのInternet Explorer(IE)、Mozilla Firefox、Google Chrome(Windows XP)、AppleのSafari(OS X 10.7.4)の各Webブラウザに対して通用するという。

 Metasploitチームでは、Oracleのパッチが公開されるまで、Javaを無効にするなどの対策を講じるよう呼びかけている。

関連キーワード

脆弱性 | Java | エクスプロイト


Copyright © ITmedia, Inc. All Rights Reserved.