Javaで危険度の高い複数の脆弱性を今月も確認 － 早急な緊急修正プログラムの適用を

今回のアップデートには、50件の脆弱性への修正が含まれていますが、内 26件が CVSS での評価で最も危険度の高い脆弱性として評価されています。また、この 26件すべてが、不正プログラムを自動的に実行させることができる脆弱性です。

トレンドマイクロではこれらの脆弱性のうちでも、「Java セキュリティスライダーの脆弱性」として知られる「CVE-2013-1489」の脆弱性が、攻撃実施に関して最も重要な脆弱性であるとみなしています。攻撃者はこの脆弱性を他の脆弱性と組み合わせることにより、ユーザに気づかれないように不正プログラムを実行させることが可能になります。他の脆弱性を利用し署名のない不正な Javaアプレットを実行させた場合、署名が無いことを警告するメッセージが表示され結果的にユーザに攻撃を気づかれてしまう可能性が生じます。しかし、「CVE-2013-1489」の脆弱性と組み合わせることにより、警告メッセージを表示させずに実行することが可能になります。

Oracle や US CERT では、これらの脆弱性を利用する攻撃コード（エクスプロイト）が既に出回っているものと公表しており、今後はこれまでに発生した脆弱性への攻撃と同様、より広範囲に攻撃が広まっていくことが予測されます。中でも、エクスプロイトを含んだ Webサイトへユーザを誘導することにより、自動的にユーザ環境で不正プログラムを実行させる攻撃の拡散が予想されます。

しかし、エクスプロイトによる攻撃は、関連する脆弱性の修正により 100％防ぐことができます。このエクスプロイト、そして関連する不正プログラムなどによる攻撃の被害に遭わないためにも、早急なアップデートの適用を推奨します。

あるいは修正プログラムが早期適用できない場合でも、ブラウザのプラグイン・アドオン設定や Java 最新版のセキュリティ設定を利用して、ブラウザ内での Javaコンテンツを無効にすることで対策をすることが可能です。また、アップデート適用前には、特に電子メールやメッセンジャ、インターネット上の掲示板などに含まれる URLリンクを安易に開かないよう注意してください。

関連記事：

参考記事：