検索:
ホーム   »   対策技術   »   Javaで危険度の高い複数の脆弱性を今月も確認 - 早急な緊急修正プログラムの適用を

Javaで危険度の高い複数の脆弱性を今月も確認 - 早急な緊急修正プログラムの適用を

  • 投稿日:2013年2月6日
  • 脅威カテゴリ:対策技術, 脆弱性, 攻撃手法
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

1月上旬にもゼロデイ脆弱性が確認されている Java ですが、続けて複数の危険性の高い脆弱性が 2月にも確認されています。既に Oracle社からは、クリティカルパッチアップデート(Java 7 Update 13)が、2月1日に公開されております。影響回避のためにも、Java 利用者には、緊急修正プログラムの早急な適用を推奨します。


今回のアップデートには、50件の脆弱性への修正が含まれていますが、内 26件が CVSS での評価で最も危険度の高い脆弱性として評価されています。また、この 26件すべてが、不正プログラムを自動的に実行させることができる脆弱性です。

トレンドマイクロではこれらの脆弱性のうちでも、「Java セキュリティスライダーの脆弱性」として知られる「CVE-2013-1489」の脆弱性が、攻撃実施に関して最も重要な脆弱性であるとみなしています。攻撃者はこの脆弱性を他の脆弱性と組み合わせることにより、ユーザに気づかれないように不正プログラムを実行させることが可能になります。他の脆弱性を利用し署名のない不正な Javaアプレットを実行させた場合、署名が無いことを警告するメッセージが表示され結果的にユーザに攻撃を気づかれてしまう可能性が生じます。しかし、「CVE-2013-1489」の脆弱性と組み合わせることにより、警告メッセージを表示させずに実行することが可能になります。

Oracle や US CERT では、これらの脆弱性を利用する攻撃コード(エクスプロイト)が既に出回っているものと公表しており、今後はこれまでに発生した脆弱性への攻撃と同様、より広範囲に攻撃が広まっていくことが予測されます。中でも、エクスプロイトを含んだ Webサイトへユーザを誘導することにより、自動的にユーザ環境で不正プログラムを実行させる攻撃の拡散が予想されます。

しかし、エクスプロイトによる攻撃は、関連する脆弱性の修正により 100%防ぐことができます。このエクスプロイト、そして関連する不正プログラムなどによる攻撃の被害に遭わないためにも、早急なアップデートの適用を推奨します。

あるいは修正プログラムが早期適用できない場合でも、ブラウザのプラグイン・アドオン設定や Java 最新版のセキュリティ設定を利用して、ブラウザ内での Javaコンテンツを無効にすることで対策をすることが可能です。また、アップデート適用前には、特に電子メールやメッセンジャ、インターネット上の掲示板などに含まれる URLリンクを安易に開かないよう注意してください。

関連記事:

  • セキュリティブログ:
     ・Javaのゼロデイ脆弱性の最新修正プログラムに問題発覚
      /archives/6551
     ・Java、Ruby on Rails、Internet Explorer の脆弱性への対処方法は?
      /archives/6542
     ・Javaゼロデイ脆弱性の緊急修正プログラム公開-ユーザは早期適用を
      /archives/6526
     ・ランサムウェアを拡散するJavaのゼロデイ脆弱性を確認
      /archives/6521
  • 参考記事:

  • Java ダウンロードページ(英語情報)
     http://www.oracle.com/technetwork/java/javase/downloads/index-jsp-138363.html
  • Related posts:

    1. ASP技術を採用しているウェブサイトにて改ざん被害が広がる
    2. そのとき何が、「WORM_DOWNAD」ファミリの振り返り
    3. 持続的標的型攻撃に利用される不正プログラム「Enfal」の更新版、874台のPCに感染
    4. モバイル端末を狙う新たなる脅威:脆弱性の利用


    • 個人のお客さま向けオンラインショップ
    • |
    • 法人のお客さま向け直営ストア
    • |
    • 販売パートナー検索
    • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
    • Latin America Region (LAR): Brasil, México
    • North America Region (NABU): United States, Canada
    • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
    • 電子公告
    • ご利用条件
    • プライバシーポリシー
    • Copyright © 2021 Trend Micro Incorporated. All rights reserved.