Java 7に未パッチの脆弱性、すでに攻撃も発生：ブラウザ設定変更で無効化を推奨

[＠IT]

　US-CERTは米国時間の1月10日、Java 7 Update 10以前に、任意のコード実行につながる深刻な脆弱性が存在することを報告し、注意を呼び掛けた。まだOracleからはパッチは提供されていない一方で、すでにこの脆弱性を悪用したコードが出回っているという。

　脆弱性が存在するのは、Java Management Extensions（JMX）MBeanコンポーネントだ。この脆弱性を悪用すると、信頼できないJavaアプレットからでもSecurity Managerのファンクションを呼び出し、権限を昇格できてしまう。最終的には、例えば細工を施したWebページを閲覧するだけで、リモートから任意のコードを実行できてしまうおそれがある。CVSSによる深刻度評価は、最高値の「10.0」となっている。

　すでに、「Blackhole」「Cool」といったツールキットで、この脆弱性を悪用するコードが実装されている。

　日本時間の1月11日時点では、Oracleによる修正パッチは提供されていない。US-CERTでは、Webブラウザの設定を変更し、Javaを無効にする回避策を取るよう推奨している。Internet Storm Center（ISC）はブログの中で、今後もこうした脆弱性が発見される可能性に言及し、「もし、Javaを必要とするビジネスクリティカルアプリケーションがあれば、代替策を見つける方がいい」と述べている。