ニュース
Java SE7に新たな脆弱性、セキュリティ企業が報告
セキュリティ企業によれば、Java SE7で導入されたReflection APIには、10年以上前から知られていた攻撃を防ぐ対策が施されていなかったという。
ポーランドのセキュリティ企業Security Explorationsは7月18日、Java SE7に新たな脆弱性が見つかったとして、セキュリティメーリングリストのFull Disclosureに概略を掲載した。Oracleにも同日、コンセプト実証(PoC)コードを添えて報告したという。
Security Explorationsによると、脆弱性はJava SE7で導入された「Reflection API」に存在し、Java仮想マシン(VM)に対する攻撃に利用される恐れがある。
この攻撃手法そのものは10年以上前から知られていたにもかかわらず、Java SE7で導入されたReflection APIには、この攻撃を防ぐための適切な対策が施されていなかったと同社は主張する。
この脆弱性を突くPoCコードはJava最新版である「Java SE 7 Update 25」(1.7.0_25)までのバージョンに対して通用。Java VMの基本的なセキュリティ機能を破り、不正なプログラムの実行を阻止するサンドボックスを回避できてしまうことを確認したとしている。
Security Explorationsはこれまでにも何度かJavaの未解決の脆弱性を発見している。
関連記事
- Javaにまたもセキュリティ問題、未解決の脆弱性報告
この問題は、4月16日に公開されたJava最新版の「Java 7 Update 21」(1.7.0_21)も影響を受けるという。 - Javaにまたも未解決の脆弱性か、セキュリティ企業がOracleに通報
過去に何度もJavaの脆弱性を発見してきたセキュリティ企業が、新たに2件の脆弱性に関する情報をOracleに提供したことを明らかにした。 - Javaのセキュリティ機能は攻撃を阻止できない? セキュリティ企業が報告
「警告メッセージを表示させることなく、無署名の悪質なJavaコードを実行することが可能」だとセキュリティ企業が伝えている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.