PR

 IPA(情報処理推進機構)とJPCERT/CCが共同で運営している脆弱性情報公開サイト「JVN」(Japan Vulnerability Notes)は2012年8月28日、米オラクルが開発および提供している「Java 7」に極めて深刻な脆弱性が見つかったことをアナウンスし、利用者に対して注意と緊急の対策を呼びかけた。既に同脆弱性を使用した攻撃コードが公開されており、攻撃が観測されているという。

 対象となるのは、オラクルの「Java SE Development Kit」(JDK 7)および「Java SE Runtime Environment」(JRE 7)を含むJava Platform Standard Edition 7(バージョン1.7、1.7.0)を利用しているWebブラウザーなどのアプリケーションやシステム。

 JVNによると、対象となるアプリケーションやシステムでは、Javaが備えているセキュリティ機能である「サンドボックス」機構を回避して任意のOSコマンドを実行できてしまう脆弱性が存在するという。例えば、「Webブラウザーで細工されたJavaアプレットが埋め込まれたWebページにアクセスすることで、任意のOSコマンドが実行される可能性がある」(JVN)としている。

 任意のOSコマンドが実行される可能性があるということは、Java 7を使いインターネットに接続している世界中の多くのパソコンが、重要ファイルの削除や改ざん、転送、ハードディスクの消去などの被害を受ける危険性を持つ“何でもあり”状態に陥っていることにほかならない。しかしながらJVNによれば8月28日現在、抜本的な対策方法は存在しないという。JVNでは被害を受ける可能性を低くするための暫定対策として「WebブラウザーのJavaプラグインを無効にする」ことを推奨している。

[JVNの発表資料へ]