IBMのSDKにJava関連のセキュリティ問題、研究者が報告

セキュリティ企業のSecurity Explorationsは、これらの問題を悪用すれば、IBM J9 Java仮想マシンのサンドボックスを迂回できてしまう主張している。

[鈴木聖子，ITmedia]

　ポーランドのセキュリティ企業Security Explorationsは5月6日、米IBMのSDK「Java Technology Edition」の最新バージョンに7件のセキュリティ問題が見つかったとして、セキュリティメーリングリストのFull Disclosureに概略を投稿した。

　Security Explorationsによると、今回見つかった問題はいずれも、Java Reflection APIのインセキュアな利用あるいは実装に起因するという。

　さらに同社は、2012年9月にIBMに報告した4件の問題もまだ適切に修正されていないと主張。悪用コードに少し手を加えれば、IBM Java環境を制御できてしまう状態にあると説明している。

　これらの問題を突いてIBM J9 Java仮想マシン（VM）のサンドボックス迂回が可能なことを実証するコンセプト実証コードも開発し、IBMに提供済みだという。

　IBM製品をめぐってはこれとは別に、IBM Notesで電子メールを参照する際にデフォルトで任意のJavaとJavaScriptが実行されてしまう問題も発覚していた。IBMはこちらの問題については、「Interim Fix 1 for Notes 8.5.3 Fix Pack 4」「Interim Fix 1 for Notes 9.0」で対処を表明している。