Javaアップデートを装う不正プログラムが流通Java 7 Update 11にも脆弱性の指摘

米Oracleは1月13日、Java 7 Update 10以前に存在する脆弱性を修正した「Java 7 Update 11」をリリースしたが、今度はそのアップデートを装った不正プログラムが流通している。

» 2013年01月21日 16時39分 公開
[高橋睦美,@IT]

 米Oracleは1月13日、Java 7 Update 10以前に存在する脆弱性を修正した「Java 7 Update 11」をリリースしたが、今度はそのアップデートを装った不正プログラムが流通していると、トレンドマイクロが警告を発している。

 1月18日付のトレンドラボのブログによると、Javaのアップデートプログラムを装った「javaupdate11.jar」というファイルが流通しているという。このファイルの作者は不明で。ファイルには不正な実行ファイルが含まれており、もしだまされて実行してしまうと、リモートサーバへ接続し、遠隔操作される恐れがあるという。

 ただしjavaupdate11.jarは、Javaの脆弱性そのものを悪用するわけではない。あくまで「古典的なソーシャルエンジニアリングの手口」(同社)という。

 また、Internet Storm Center(ISC)の情報によると、Oracleは脆弱性修正のためにリリースした公式アップデート、Java 7 Update 11(JRE 1.7.0_11-b21)にも、新たに2つの脆弱性が発見されたとのことだ。

 これは、Update 11で修正を図った2件の脆弱性とは別の脆弱性で、悪用するとJavaのサンドボックスがバイパスされてしまう。問題を発見したSecurity Explorationsは、実証コードとともにこの脆弱性の件をOracleにレポート済みという。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。