JavaとPythonに脆弱性、ファイアウォールを突破される恐れ
たとえユーザーがブラウザのJavaプラグインを無効にしていた場合でも、脆弱性を突いた攻撃を仕掛けられる恐れがあるという。
JavaとPythonにファイアウォールを突破される恐れのある脆弱性が見つかったとして、研究者が詳しい情報をブログで公表した。米国時間の2月20日現在、この脆弱性はまだ修正されていないという。
この脆弱性についてはドイツのセキュリティ研究者アレキサンダー・クリンク氏が2月18日のブログで伝え、続いて米セキュリティ企業Blindspot Securityが20日のブログで、さらに大きな危険があると指摘した。
クリンク氏によれば、Javaに不正なURLを介してFTPプロトコルストリームを挿入できてしまう脆弱性があり、別の脆弱性と組み合わせて悪用すれば、JavaアプリケーションからSMTPプロトコル経由で不正な電子メールを送信できてしまう可能性がある。
Blindspotの研究者ティモシー・モーガン氏はこの脆弱性について、悪用されれば被害者のファイアウォールを突破され、インターネットから脆弱性のあるホストのシステムへの1024〜65535番ポートを使ったTCP接続を許してしまう恐れがあることが分かったと伝えた。
ほぼ同じ脆弱性は、Pythonに組み込まれているURL取得ライブラリのurllib2とurllibライブラリにも存在しているという。Javaの場合、この脆弱性を突いたデスクトップPCに対する攻撃は、たとえユーザーがブラウザのJavaプラグインを無効にしていた場合でも実行できるとしており、この脆弱性はさまざまな手口で悪用できるとモーガン氏は解説する。
中でも特筆すべき手口として、JavaをインストールしたデスクトップPCで悪質なWebサイトを閲覧させれば、たとえJavaアプレットが無効になっていたとしても、Java Web Startを起動させ、不正なFTP URLを仕込んだJNLPファイルを解析させることができてしまうという。しかもこの攻撃は、ユーザーに一切気づかれないまま実行することも可能だとしている。
モーガン氏はPythonの脆弱性については2016年にPythonセキュリティチームに報告し、Oracleには同年11月、Javaの脆弱性を報告したとしている。しかし2月20日の時点ではいずれも、指摘された脆弱性の修正パッチをリリースしていないという。
当面の対策として同氏は、JavaをデスクトップPCから削除することを検討し、全てのファイアウォールでクラシックモードFTPを無効にすることなどを勧告している。
関連記事
- Oracleが定例セキュリティパッチ公開、Javaなど253件の脆弱性を修正
Java SEやDatabase Serverに存在する計253件の脆弱性が修正された。 - Javaのアップデート公開、リモートコード実行の脆弱性に対処
Oracleは可能な限り早く適用することを強く推奨している。 - Javaのダウンロードプロセスに脆弱性、Windowsユーザーは入れ替えを
Java SEの古いバージョンをダウンロードしたユーザーが脆弱性を修正するためには、古いダウンロードを破棄した上で、6u113/7u97/8u73以降のバージョンに入れ替える必要がある。 - 「httpoxy」の脆弱性発覚 PHP、Go、PythonなどのCGIアプリに影響
PHP、Python、Goを使ったCGIベースのアプリケーションで脆弱性が確認されたほか、影響を受ける恐れのある多数のアプリケーションがあると推定される。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.