JavaとPythonに脆弱性、ファイアウォールを突破される恐れ

たとえユーザーがブラウザのJavaプラグインを無効にしていた場合でも、脆弱性を突いた攻撃を仕掛けられる恐れがあるという。

» 2017年02月22日 08時48分 公開
[鈴木聖子ITmedia]

 JavaとPythonにファイアウォールを突破される恐れのある脆弱性が見つかったとして、研究者が詳しい情報をブログで公表した。米国時間の2月20日現在、この脆弱性はまだ修正されていないという。

 この脆弱性についてはドイツのセキュリティ研究者アレキサンダー・クリンク氏が2月18日のブログで伝え、続いて米セキュリティ企業Blindspot Securityが20日のブログで、さらに大きな危険があると指摘した。

 クリンク氏によれば、Javaに不正なURLを介してFTPプロトコルストリームを挿入できてしまう脆弱性があり、別の脆弱性と組み合わせて悪用すれば、JavaアプリケーションからSMTPプロトコル経由で不正な電子メールを送信できてしまう可能性がある。

photo アレキサンダー・クリンク氏のブログ

 Blindspotの研究者ティモシー・モーガン氏はこの脆弱性について、悪用されれば被害者のファイアウォールを突破され、インターネットから脆弱性のあるホストのシステムへの1024〜65535番ポートを使ったTCP接続を許してしまう恐れがあることが分かったと伝えた。

 ほぼ同じ脆弱性は、Pythonに組み込まれているURL取得ライブラリのurllib2とurllibライブラリにも存在しているという。Javaの場合、この脆弱性を突いたデスクトップPCに対する攻撃は、たとえユーザーがブラウザのJavaプラグインを無効にしていた場合でも実行できるとしており、この脆弱性はさまざまな手口で悪用できるとモーガン氏は解説する。

 中でも特筆すべき手口として、JavaをインストールしたデスクトップPCで悪質なWebサイトを閲覧させれば、たとえJavaアプレットが無効になっていたとしても、Java Web Startを起動させ、不正なFTP URLを仕込んだJNLPファイルを解析させることができてしまうという。しかもこの攻撃は、ユーザーに一切気づかれないまま実行することも可能だとしている。

photo ティモシー・モーガン氏のブログ

 モーガン氏はPythonの脆弱性については2016年にPythonセキュリティチームに報告し、Oracleには同年11月、Javaの脆弱性を報告したとしている。しかし2月20日の時点ではいずれも、指摘された脆弱性の修正パッチをリリースしていないという。

 当面の対策として同氏は、JavaをデスクトップPCから削除することを検討し、全てのファイアウォールでクラシックモードFTPを無効にすることなどを勧告している。

関連キーワード

脆弱性 | Java | Python


Copyright © ITmedia, Inc. All Rights Reserved.