Javaインストーラーも危険
Javaプラグインがセキュリティに致命的な欠陥を持っていることが知られてからすでに数年が経ちました。プラグイン自体が問題にはならなくとも、同梱されているツールバーがマルウェアだったりすることがあります。そしてどうやら、Javaインストーラーも危険なようです。
インストーラー同梱のマルウェアがほんの少しの操作で起動してしまうのも問題です。Oracleの最近のセキュリティ報告によると、正しいファイル名の.DLLファイルをインストーラーと同じフォルダに入れてしまうことで問題が生じるとのことです。
Javaをインストールした人の多くがセットアップファイルもデフォルトのダウンロード場所に入れてしまいますので、アタッカーは.DLLファイルをクリックさせるように仕向けるだけで侵入出来てしまいます。
正体不明の.DLLファイルに注意!
一体誰が古いJavaインストーラーをいまだに使っていると言うんだ、とお思いの方も多いでしょう。しかしですよ。パスワードを「password」にするなど愚の骨頂、そんなことをするバカはいないと普通の人は考え、実際に他のパスワードにするのですが、中にはpasswordのままで放置する人がいるものなのです。
全てのサイバー犯罪者がトロイの木馬を仕込んだ.DLLファイルを一般ユーザーに掴ませようと時間を浪費するわけではないでしょうが…
Oracleはダウンロードファイルを安全に保つよう警告を発しています。とにかく正体不明の.DLLファイルを見つけたときは注意すべきです。
Java Web Startの使用を推奨
Oracleは最近、Javaプラグインをすべて排除する予定であることを正式に発表していますので、今回のJavaインストーラー同梱マルウェアに関しては近々心配なくなります。JavaプラグインはJDKバージョン9から削除されてきており、Oracleは代わりにJava Web Startを使うよう推奨しています。
Via: Geek.com
