Java SE7に新たな脆弱性、セキュリティ企業が報告
セキュリティ企業によれば、Java SE7で導入されたReflection APIには、10年以上前から知られていた攻撃を防ぐ対策が施されていなかったという。
» 2013年07月19日 07時30分 公開
[鈴木聖子,ITmedia]
ポーランドのセキュリティ企業Security Explorationsは7月18日、Java SE7に新たな脆弱性が見つかったとして、セキュリティメーリングリストのFull Disclosureに概略を掲載した。Oracleにも同日、コンセプト実証(PoC)コードを添えて報告したという。
Security Explorationsによると、脆弱性はJava SE7で導入された「Reflection API」に存在し、Java仮想マシン(VM)に対する攻撃に利用される恐れがある。
この攻撃手法そのものは10年以上前から知られていたにもかかわらず、Java SE7で導入されたReflection APIには、この攻撃を防ぐための適切な対策が施されていなかったと同社は主張する。
この脆弱性を突くPoCコードはJava最新版である「Java SE 7 Update 25」(1.7.0_25)までのバージョンに対して通用。Java VMの基本的なセキュリティ機能を破り、不正なプログラムの実行を阻止するサンドボックスを回避できてしまうことを確認したとしている。
Security Explorationsはこれまでにも何度かJavaの未解決の脆弱性を発見している。
関連記事
Javaにまたもセキュリティ問題、未解決の脆弱性報告
この問題は、4月16日に公開されたJava最新版の「Java 7 Update 21」(1.7.0_21)も影響を受けるという。
Javaにまたも未解決の脆弱性か、セキュリティ企業がOracleに通報
過去に何度もJavaの脆弱性を発見してきたセキュリティ企業が、新たに2件の脆弱性に関する情報をOracleに提供したことを明らかにした。
Javaのセキュリティ機能は攻撃を阻止できない? セキュリティ企業が報告
「警告メッセージを表示させることなく、無署名の悪質なJavaコードを実行することが可能」だとセキュリティ企業が伝えている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 爆売れだった「ノートPC」が早くも旧世代の現実
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。