ビデオ: å¸è¡€é¬¼ãƒãƒ³ã‚¿ãƒ¼D ブラッドラスト (九月 2024)
オラクルは、Javaの別の緊急アップデートを発行しました。 これは、攻撃で既に使用されていたJavaのセキュリティ問題を修正するために2013年にリリースされた3番目の緊急アップデートです。
オラクルは月曜日にリリースしたセキュリティ勧告で、CVE-2013-1493と関連する脆弱性(CVE-2013-0809)に対処した最新のアップデートであるJava 7アップデート17およびJava 6アップデート43を取り上げました。 OracleのソフトウェアセキュリティアシュアランスディレクターであるEric Mauriceのブログ投稿によると、両方の脆弱性はJava SEの2Dコンポーネントに影響を与えます。JavaSEはランタイムグラフィックスと画像のレンダリング方法を処理します。
同社によると、すべてのJavaユーザーはすぐに最新バージョンにアップグレードする必要があるという。
「これらの脆弱性は、認証なしでリモートで悪用される可能性があります。つまり、ユーザー名とパスワードを必要とせずにネットワーク上で悪用される可能性があります」とOracleは書いています。
Oracleによると、攻撃者は疑いを持たないユーザーをだましてコードをホストしている悪意のあるWebページにアクセスし、これらのセキュリティ上の欠陥を引き起こす可能性があるという。 研究者は、McRATリモートアクセストロイの木馬を使用してユーザーコンピューターに感染する野生の攻撃を発見しました。 McRATは、コマンドアンドコントロールサーバーに接続し、Windowsオペレーティングシステムプロセスに自分自身をコピーします。
エクスプロイトは、成功した場合、「ユーザーのシステムの可用性、整合性、および機密性に影響を与える可能性があります」とOracleは書いています。
大量の更新、可能な場合は無効にする
Oracleは1月中旬にJavaを更新し、さまざまなサイトに影響を与える一連の水飲み場スタイルの攻撃に関するクリスマスの報告が出た後、緊急更新で2月上旬に再び更新しました。 同社は2月19日に50個のバグに対処する予定のアップデートを公開しました。これら2つのバグは2月1日にOracleに報告されましたが、2月19日のアップデートに含めることはできませんでした、とMauriceは書きました。
次回のJava更新が4月に予定されていることを考慮して、同社はこの欠陥が攻撃で積極的に使用されていたため、帯域外パッチのリリースを決定しました。
「すべてのJava SEユーザーのセキュリティ態勢を維持するために、オラクルはこの脆弱性の修正と密接に関連する別のバグをできるだけ早くリリースすることを決定しました」とモーリスは書いています。
モーリスは、この問題はWebブラウザーで実行されているJavaアプリケーションにのみ存在し、サーバーで実行されているJava、スタンドアロンJavaデスクトップアプリケーション、組み込みJavaアプリケーション、またはOracleサーバーベースのソフトウェアには適用されないことをユーザーに保証しました。 多くのセキュリティ専門家と国土安全保障省コンピュータ緊急対応チーム(CERT)は、ユーザーがJavaプラグインを定期的に使用しない場合はブラウザーでJavaプラグインを無効にすることを推奨しています。
ユーザーがJavaを必要とする場合、これは大部分のビジネスおよび教育ユーザーをカバーするため、Javaプラグインがインストールされた別個のブラウザーを保持し、そのブラウザーを使用してそれらのサイトのみにアクセスする価値があります。
nCircleのセキュリティ研究開発部長のLamar Bailey氏は、「Oracleが重大な脆弱性に迅速に対応するのを見るのは良いことですが、Javaのセキュリティ問題について深く掘り下げることは過去のことです」と語っています。 「オラクルがすでに最高のセキュリティエンジニアのチームを割り当てて、残りのJavaセキュリティの問題を積極的に排除することを望んでいますが、それまではユーザーがAVシグネチャを更新するたびにJavaを更新することになるでしょう」
Java 2は今年2月にサポートを終了し、Oracleが古いバージョンにパッチを適用しないかどうかの懸念を引き起こしました。 OracleはこのアップデートでJava 6にパッチを適用しましたが、これはまだ多くのユーザーが使用しています。 Oracleが今後6か月間でJava 6のパッチをどのように処理するかは明確ではありません。
「オラクルは自社製品を安全に保護していると常に思っていましたが、最近のJava脆弱性の急増により信頼を失いました」とベイリー氏は語り、オラクルの他の製品にどんな深刻なセキュリティ問題があるのか疑問に思っていると付け加えました。
その他のJavaのバグが見つかりました
進行中の猫とマウスのゲームでは、Javaの更新により、脆弱性がさらに開示される時期が来ています。 ポーランドの調査会社Security Explorationsの責任者であるAdam Gowdiakは、別の5つのJava 7の問題を発見しました。
「5つの新しいセキュリティ問題がJava SE 7(56〜60番)で発見されました。これらを組み合わせて使用すると、Java SE 7アップデート15の環境で完全なJavaセキュリティサンドボックスバイパスを取得できます」 Bugtraqメーリングリスト。 Gowdiak氏によると、攻撃者はこの問題を利用して、Oracleが最近実装したセキュリティチェックの一部を破ることができるようです。 攻撃を成功させるには、5つの問題すべてを一緒に使用する必要があります。 Gowdiakはすでに詳細情報と概念実証コードをOracleに提出しています。
2つの問題はJava 6にも影響する可能性がありますが、確認されていません。
「Javaは攻撃者に与え続ける贈り物であることが証明されています」とnCircleのセキュリティオペレーションディレクターであるAndrew Stormsは SecurityWatch に語りました。 彼は、大企業や政府機関に対するより標的を絞った攻撃を予測しました。 「Javaの悪いニュースはますます悪化しており、終わりが見えない」と彼は語った。
