セキュリティ企業によれば、Java SE7で導入されたReflection APIには、10年以上前から知られていた攻撃を防ぐ対策が施されていなかったという。
ポーランドのセキュリティ企業Security Explorationsは7月18日、Java SE7に新たな脆弱性が見つかったとして、セキュリティメーリングリストのFull Disclosureに概略を掲載した。Oracleにも同日、コンセプト実証(PoC)コードを添えて報告したという。
Security Explorationsによると、脆弱性はJava SE7で導入された「Reflection API」に存在し、Java仮想マシン(VM)に対する攻撃に利用される恐れがある。
この攻撃手法そのものは10年以上前から知られていたにもかかわらず、Java SE7で導入されたReflection APIには、この攻撃を防ぐための適切な対策が施されていなかったと同社は主張する。
この脆弱性を突くPoCコードはJava最新版である「Java SE 7 Update 25」(1.7.0_25)までのバージョンに対して通用。Java VMの基本的なセキュリティ機能を破り、不正なプログラムの実行を阻止するサンドボックスを回避できてしまうことを確認したとしている。
Security Explorationsはこれまでにも何度かJavaの未解決の脆弱性を発見している。
Copyright © ITmedia, Inc. All Rights Reserved.