NEWS(12/08/28 13:59)
JVN、“Java”に未修正で深刻なゼロデイ脆弱性が存在することを公表
Secuniaの深刻度は最悪の“Extremely critical”、Webを開くだけでコマンド実行可能
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)および独立行政法人情報処理推進機構(IPA)が運営するセキュリティ情報サイト“Japan Vulnerability Notes”(以下、JVN)は28日、Java言語で開発されたソフトを実行するために必要なランタイム「Java SE Runtime Environment (JRE)」およびJavaの開発環境「Java SE Development Kit(JDK)」の最新版v7 Update 6に、未修正ですでに攻撃が始まっているゼロデイ脆弱性が存在することを公表した。
また、同脆弱性はデンマークのセキュリティベンダーSecunia ApSでも報告されており、Secuniaによる深刻度の評価は最悪の“Extremely critical”。
脆弱性の詳細は、細工されたJavaアプレットが埋め込まれたWebページを開くことで、サンドボックス機能を回避されて攻撃者が任意のOSコマンドを実行できてしまうというもの。JVNによると、ウェブブラウザのJavaプラグインを無効にすることで、本脆弱性の影響を軽減できるとのこと。