BT

2年ぶりのJavaゼロデイ脆弱性

作者: Abraham Marín Pérez , 翻訳者 大田 緑 - (株)チェンジビジョン 投稿日 2015年8月25日 |

原文(投稿日:2015/08/08)へのリンク

サンドボックスのJava Web StartアプリケーションやサンドボックスのJavaアプレットに影響するゼロデイ脆弱性が最近発表された。これは、2年ぶりのゼロデイ脆弱性だ。この脆弱性は簡単に攻撃されるものであり、すでに攻撃を受けているという懸念から、最高のCVSSリスクスコアが与えられた。Oracleはパッチを提供し、できるだけ早くアップグレードするようユーザに求めている。

CVE-2015-2590として識別されたこの脆弱性は、NATOや米国防衛組織に送られた多数のEメールを分析後、Trend MicroのSmart Protection Networkによって発見された。Eメールは前述の脆弱性を攻撃するJavaアプレットが埋め込まれたウェブサイトを示すリンクを含み、被害者のコンピュータでリモートコードが実行されるようになっていた。

この脆弱性は、Javaランタイム全体に影響するものではなく、Java Web StartアプリケーションとJavaアプレットにのみ影響するものであることを知っておいてほしい。サーバやローカルでJavaアプリケーションを実行するクライアントは影響を受けない。つまり、上記のアプリケーションを含むウェブサイトを参照していないユーザはリスクがない。問題のウェブサイトを参照したユーザに対して、Oracleは、ユーザのプロファイルに応じて、2つのレベルのリスクを確認した

この攻撃はコードが実行ユーザによって実行されるため、攻撃の影響範囲は、ユーザがアドミニストレータの権限を持っているかどうかで異なる。LinuxやSolaris、Windows Vista以降のWindowsにおいて、ユーザは、通常、アドミニストレータ権限を持たない。(Windows Vista以降のユーザは、そのような権限を持つかもしれないが、上位モードに入るためには明示的な確認が必要とされる) このような場合、OracleのCVSSスコアは10のうち7.5だ。しかし、まだ多くのユーザに使われているWindows XPのようなシステムは、通常、標準ユーザにアドミニストレータ権限が与えられているため、コードのリモート実行には非常に脆弱だ。このようなプロファイルを持つ場合、Oracleは10のうち10のスコアを与えた。

Oracleは、7月14日に定期的なCPU (Critical Patch Update) の一部として、この脆弱性の修正をリリースした。CPUは四半期ごとにリリースされ、前四半期に修正された脆弱性の修正が含まれる。この修正は、おそらく脆弱性の発見と定期的なアップデートの日が近かったため、定期的なアップグレードの一部としてリリースされた。脆弱性が別の時期に発見されていたら、CVE-2013-1493と同じように、Oracleは不定期のセキュリティアラートアップデートをリリースしただろう。

関連記事

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

特集コンテンツ一覧

サイト全般について
バグ
広告
記事
Marketing
 InfoQ.com and all content copyright © 2006-2015 C4Media Inc. InfoQ.com and 株式会社豆蔵 InfoQ Japan hosted at Contegix, the best ISP we've ever worked with.
プライバシー
BT