Java最新版に新たな脆弱性か？ 臨時パッチ公開の翌日に発覚

[鈴木聖子，ITmedia]

　Oracleが臨時パッチで脆弱性を修正したばかりの「Java 7 Update 7」に、また新たな脆弱性が報告された。米セキュリティ機関のSANS Internet Storm Centerなどが8月31日付で伝えた。

　この問題ではJavaの未解決の脆弱性が発覚して攻撃に利用され、Oracleが8月30日に臨時パッチを公開して4件の脆弱性を修正していた。ところがSANSによれば、この最新版のJava 7に深刻な脆弱性が見つかったとして、ポーランドのセキュリティ企業Security Explorationsが翌31日、コンセプト実証コードを添えてOracleに通報した。悪用された場合、Javaのサンドボックスをかわされ、任意のコードを実行される恐れがあるという。

　Security Explorationsは、Javaの19件の脆弱性に関する情報を4月にOracleに通報していたセキュリティ企業。この中には今回の臨時パッチで修正された脆弱性も含まれていたとされる。

　Javaの脆弱性が相次いで発覚し、悪用されている事態を受け、SANSでは「動的コンテンツをJavaに依存しているWebサイトは極めて少ない。JavaはJavascriptやFlashほどに必要とされていない。ほとんどの人は、ブラウザのJavaプラグインを無効にしても、違いに気づかないだろう」とするRapid7幹部の言葉を紹介している。