| 1月上旬にもゼロデイ脆弱性が確認されている Java ですが、続けて複数の危険性の高い脆弱性が 2月にも確認されています。既に Oracle社からは、クリティカルパッチアップデート(Java 7 Update 13)が、2月1日に公開されております。影響回避のためにも、Java 利用者には、緊急修正プログラムの早急な適用を推奨します。 |
今回のアップデートには、50件の脆弱性への修正が含まれていますが、内 26件が CVSS での評価で最も危険度の高い脆弱性として評価されています。また、この 26件すべてが、不正プログラムを自動的に実行させることができる脆弱性です。
トレンドマイクロではこれらの脆弱性のうちでも、「Java セキュリティスライダーの脆弱性」として知られる「CVE-2013-1489」の脆弱性が、攻撃実施に関して最も重要な脆弱性であるとみなしています。攻撃者はこの脆弱性を他の脆弱性と組み合わせることにより、ユーザに気づかれないように不正プログラムを実行させることが可能になります。他の脆弱性を利用し署名のない不正な Javaアプレットを実行させた場合、署名が無いことを警告するメッセージが表示され結果的にユーザに攻撃を気づかれてしまう可能性が生じます。しかし、「CVE-2013-1489」の脆弱性と組み合わせることにより、警告メッセージを表示させずに実行することが可能になります。
Oracle や US CERT では、これらの脆弱性を利用する攻撃コード(エクスプロイト)が既に出回っているものと公表しており、今後はこれまでに発生した脆弱性への攻撃と同様、より広範囲に攻撃が広まっていくことが予測されます。中でも、エクスプロイトを含んだ Webサイトへユーザを誘導することにより、自動的にユーザ環境で不正プログラムを実行させる攻撃の拡散が予想されます。
しかし、エクスプロイトによる攻撃は、関連する脆弱性の修正により 100%防ぐことができます。このエクスプロイト、そして関連する不正プログラムなどによる攻撃の被害に遭わないためにも、早急なアップデートの適用を推奨します。
あるいは修正プログラムが早期適用できない場合でも、ブラウザのプラグイン・アドオン設定や Java 最新版のセキュリティ設定を利用して、ブラウザ内での Javaコンテンツを無効にすることで対策をすることが可能です。また、アップデート適用前には、特に電子メールやメッセンジャ、インターネット上の掲示板などに含まれる URLリンクを安易に開かないよう注意してください。
・Javaのゼロデイ脆弱性の最新修正プログラムに問題発覚
/archives/6551
・Java、Ruby on Rails、Internet Explorer の脆弱性への対処方法は?
/archives/6542
・Javaゼロデイ脆弱性の緊急修正プログラム公開-ユーザは早期適用を
/archives/6526
・ランサムウェアを拡散するJavaのゼロデイ脆弱性を確認
/archives/6521
http://www.oracle.com/technetwork/java/javase/downloads/index-jsp-138363.html