たとえユーザーがブラウザのJavaプラグインを無効にしていた場合でも、脆弱性を突いた攻撃を仕掛けられる恐れがあるという。
JavaとPythonにファイアウォールを突破される恐れのある脆弱性が見つかったとして、研究者が詳しい情報をブログで公表した。米国時間の2月20日現在、この脆弱性はまだ修正されていないという。
この脆弱性についてはドイツのセキュリティ研究者アレキサンダー・クリンク氏が2月18日のブログで伝え、続いて米セキュリティ企業Blindspot Securityが20日のブログで、さらに大きな危険があると指摘した。
クリンク氏によれば、Javaに不正なURLを介してFTPプロトコルストリームを挿入できてしまう脆弱性があり、別の脆弱性と組み合わせて悪用すれば、JavaアプリケーションからSMTPプロトコル経由で不正な電子メールを送信できてしまう可能性がある。
Blindspotの研究者ティモシー・モーガン氏はこの脆弱性について、悪用されれば被害者のファイアウォールを突破され、インターネットから脆弱性のあるホストのシステムへの1024〜65535番ポートを使ったTCP接続を許してしまう恐れがあることが分かったと伝えた。
ほぼ同じ脆弱性は、Pythonに組み込まれているURL取得ライブラリのurllib2とurllibライブラリにも存在しているという。Javaの場合、この脆弱性を突いたデスクトップPCに対する攻撃は、たとえユーザーがブラウザのJavaプラグインを無効にしていた場合でも実行できるとしており、この脆弱性はさまざまな手口で悪用できるとモーガン氏は解説する。
中でも特筆すべき手口として、JavaをインストールしたデスクトップPCで悪質なWebサイトを閲覧させれば、たとえJavaアプレットが無効になっていたとしても、Java Web Startを起動させ、不正なFTP URLを仕込んだJNLPファイルを解析させることができてしまうという。しかもこの攻撃は、ユーザーに一切気づかれないまま実行することも可能だとしている。
モーガン氏はPythonの脆弱性については2016年にPythonセキュリティチームに報告し、Oracleには同年11月、Javaの脆弱性を報告したとしている。しかし2月20日の時点ではいずれも、指摘された脆弱性の修正パッチをリリースしていないという。
当面の対策として同氏は、JavaをデスクトップPCから削除することを検討し、全てのファイアウォールでクラシックモードFTPを無効にすることなどを勧告している。
Copyright © ITmedia, Inc. All Rights Reserved.