ニュース
IBMのSDKにJava関連のセキュリティ問題、研究者が報告
セキュリティ企業のSecurity Explorationsは、これらの問題を悪用すれば、IBM J9 Java仮想マシンのサンドボックスを迂回できてしまう主張している。
ポーランドのセキュリティ企業Security Explorationsは5月6日、米IBMのSDK「Java Technology Edition」の最新バージョンに7件のセキュリティ問題が見つかったとして、セキュリティメーリングリストのFull Disclosureに概略を投稿した。
Security Explorationsによると、今回見つかった問題はいずれも、Java Reflection APIのインセキュアな利用あるいは実装に起因するという。
さらに同社は、2012年9月にIBMに報告した4件の問題もまだ適切に修正されていないと主張。悪用コードに少し手を加えれば、IBM Java環境を制御できてしまう状態にあると説明している。
これらの問題を突いてIBM J9 Java仮想マシン(VM)のサンドボックス迂回が可能なことを実証するコンセプト実証コードも開発し、IBMに提供済みだという。
IBM製品をめぐってはこれとは別に、IBM Notesで電子メールを参照する際にデフォルトで任意のJavaとJavaScriptが実行されてしまう問題も発覚していた。IBMはこちらの問題については、「Interim Fix 1 for Notes 8.5.3 Fix Pack 4」「Interim Fix 1 for Notes 9.0」で対処を表明している。
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.