Oracle、Javaの深刻な脆弱性を公表―攻撃者はリモートであらゆる操作が可能〔今朝パッチ緊急リリース〕

次の記事

Material Wrldは日本人が立ち上げたニューヨーク発ファッション好きのためのマーケットプレイス

Image1 for post Sun Preps RIA Resurgence With New Java Release

OracleはJavaに関するセキュリティー警告を公表した。この脆弱性を利用すると、攻撃者はユーザーのコンピュータをリモートから完全にコントロールすることができるようになるという。

この攻撃にはユーザー名やパスワードなどのユーザー情報が必要ない。攻撃者がユーザーのコンピュータに対してどんな操作でも可能になるということは、ユーザーのコンピュータをスパム送信のためのボットに変えたり、さらに他のユーザーを攻撃する足場に利用したりすることも可能だろう。

今回のJava脆弱性を攻撃するマルウェアを仕込んだサイトを訪問するだけでユーザーは被害に遭うという。攻撃が成功すればコンピュータは情報の漏洩、改ざん、消去などの影響を受ける可能性がある。

Oracleでは次のように述べている。

CVE-2012-4681脆弱性の深刻さ、その技術的詳細が一般に公開されていること、 またすでにこの脆弱性を利用した攻撃が始まっていることなどを考慮すると、ユーザーが直ちにアップデートを適用することをオラクルは強く勧告する。

対処方法の詳細についてはOracleのウェブ・ページを訪問すること。

今回の脆弱性では特にエンタープライズ・ユーザーに対する危険性が深刻だ。攻撃はネットワーク経由で行われ、ユーザー名もパスワードも必要ないということは、通常のネットワーク・セキュリティー・ツールではシステムが攻撃者に乗っ取られていることを探知できず、ユーザーが知らないうちに危険な状態に陥っている可能性がある。

〔日本版〕 オラクルは日本時間8/31AM3:00ごろ、この脆弱性に対する緊急パッチをリリースした。今回の脆弱性が発見されたのはJDK/JRE 7 Update 6またはそれ以前、JDK/JRE 6 Update 24またそれ以前のバージョン。対処の詳細は公式ブログ記事Security Alert for CVE-2012-4681 Releasedを参照。自動アップデートが有効になっていればすでにパッチ適用ずみ。現在最新版が適用されているかどうかはこちらでチェックできる。

[原文へ]

(翻訳:滑川海彦 Facebook Google+