先日来、"Java" のゼロデイ脆弱性(CVE-2013-0422) と、これを狙った攻撃とが憂慮されている。
それに対して、米Oracle Corporation は13日(現地時間)、"Java"のゼロデイ脆弱性(CVE-2013-0422)を修正する定例外のアップデート版の「Java SE 7 Update 11」を公開した。
ところが、下記引用サイト記事:Java ゼロデイ脆弱性の最新修正プログラムに問題発覚/japan.internet.com/2013.01.19 によれば、
<Java には依然として大きなリスクがある> という。
<1月13日には、Oracle がパッチを公開したが、トレンドマイクロは、この緊急修正プログラムが不完全であること/ トレンドマイクロによると、この脆弱性には 2つの問題点が存在/ Oracle が13日に公開した緊急修正プログラムは、後者を修正するもので、[ もうひとつの ]findClass メソッドの脆弱性は、制限付きクラスの参照を取得するために依然として利用される可能性がある> とのことなのである。
ちなみに、"Firefox" のブラウザを使っている自分の場合は、念のため、<Java アプレットを無効にするには> にしたがって、"Java プラグイン" を無効とする対処をすることにした......。
Java ゼロデイ脆弱性の最新修正プログラムに問題発覚/japan.internet.com/2013.01.19
Symantec Security Response は1月10日付の Blog で、Java のゼロデイ脆弱性を狙った攻撃が Cool 悪用ツールキットで拡散、活動中であることを報告しているが、15日には新たな Blog を掲載、Cool 悪用ツールキットのほかに、Blackhole、Redkit、Impact などのメジャーな悪用ツールキットも、今回の脆弱性を悪用している、と報告している。
シマンテックは現在、これらの悪用ツールキットで拡散されている JAR ファイルを Trojan.Maljava として検出するが、さらに Trojan.Maljava!gen26 の検出定義も追加した。
米国国土安全保障省は、脆弱性を修正するパッチが公開されるまで、ブラウザで Java を無効にするよう勧告を出した。
1月13日には、Oracle がパッチを公開したが、トレンドマイクロは、この緊急修正プログラムが不完全であることを指摘している。トレンドマイクロによると、この脆弱性には 2つの問題点が存在するそうだ。
ひとつは、com.sun.jmx.mbeanserver.MBeanInstantiator クラスの findClass メソッドに、もうひとつは、java.lang.invoke.MethodHandle クラスの invokeWithArguments メソッドに存在する。Oracle が13日に公開した緊急修正プログラムは、後者を修正するもので、findClass メソッドの脆弱性は、制限付きクラスの参照を取得するために依然として利用される可能性がある、という。つまり、findClass メソッドには、他の新たな脆弱性に利用される恐れがある不具合が残されたままだ。
findClass メソッドの問題は単体で悪用することはできないが、Java には依然として大きなリスクがあることには違いない。
Oracle はこの脆弱性に関する詳しい Blog を公開している。
上記記事最下段の図は、"シマンテック" が "脅威を含む JAR ファイル(Java Archive)" による攻撃を、"毎日ほぼ 300,000 件も遮断している" ことを示している分布図だそうだ。( Java の最新のゼロデイ脆弱性に対する追加の保護対策/Symantec/2013.01.15 )
あなどれない "攻撃頻度" だと思われる。警戒するに越したことはなさそうである...... (2013.01.20)
コメントする