最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆マイクロソフト、4月度の月例セキュリティパッチを公開(2010/04/14) | メイン | ◆アップル、Mac OS X用「セキュリティアップデート 2010-003」を公開(2010/04/16) »

2010/04/16

◆オラクル、JREの最新版「6 Update 20」公開~早急に更新しないと危険(2010/04/16)

 オラクルは15日、Javaの実行環境、JRE(Java Runtime Environment)の最新版となるJRE 6 Update 20(1.6.0_20)を公開した。最新版では、米国時間9日に報告され、セキュリティ関連機関やベンダーが注意を呼びかけていたJava Deployment Toolkitの脆弱性も修正されている。すでに「8080系」のサイト改ざん攻撃でこの脆弱性が使われており、国内の改ざんサイトも攻撃に利用されている。非常に危険な状況のため、早急にアップデートを行っていただきたい。

 問題となっていた脆弱性は、JREの6 Update 10以降と同時にインストールされるJava Deployment Toolkitに存在。launch()メソッドに問題があり、任意の引数をJava Web Startユーティリティ(javaws.exe)に渡してしまうため、細工されたWebサイトを閲覧すると、遠隔の第三者によって、制限を超えて任意のJAR(Java ARchive)ファイルを実行される可能性がある。また、JVM(Java仮想マシン)が操作可能になるため、任意のコードを実行されるおそれもある。

 パソコンにインストールされているJREのバージョンは、Javaコントロールパネル(コントロールパネルのJavaアイコン)を開き、「バージョン情報」で確認が可能。下記「Javaソフトウェアのインストール状況のテスト」のページや、コマンドプロンプトで「java -fullversion」と入力、実行して確認する方法もある。

 最新版には、アップデート機能(自動更新機能や、Javaコントロールパネルの「今すぐアップデート」)を使って更新できるほか、同社サイトから無料でダウンロードすることもできる。

■ 8080系のサイト改ざん攻撃が Java Deployment Toolkitの脆弱性を悪用

 セキュリティベンダーなどの情報によると、今回修正されたJava Deployment Toolkitの脆弱性を利用する攻撃がすでに始まっている。JREを最新版に更新していない、あるいは、脆弱性回避策を適用していないパソコンだと、細工されたサイトにアクセスするだけでウイルスに感染してしまうという危険な状況だ。

 日本IBMの15日付のレポートによると、8080系のサイト改ざん攻撃がこの脆弱性の悪用を開始した。国内の企業も被害にあっているという。レポートでは攻撃サーバーとして使われているドメインが3つ挙げられているが、そのうち2つは、過去に編集部がキャッチした国内の改ざんサイトでも、誘導先となっていたドメイン。これから新たに改ざんされるサイトだけでなく、これまでに改ざんされて放置されている国内のサイトからも、新コードを実装したこれらの攻撃サーバーに誘導されてしまうという、深刻な状態だ。

 8080系の攻撃が、いつからこの脆弱性を悪用し始めたかは分かっていない。ただ攻撃開始から最新版の公開までに、数日から数時間が経過していたことは確実で、回避策を適用していなかったパソコンは、すでにウイルスに感染してしまっているかもしれない。パソコンが不調なときは、下記のトピックスを参照して、オンラインスキャンを試してみるようおすすめする。

 また、セキュリティベンダー AVG Technologiesは、米国時間14日付のブログで、米国の歌詞検索サイトが改ざんされ、アクセスすると、今回の脆弱性を突くコードを読み込んでしまう状態となっていたと報告している。コードは、ロシアの攻撃サーバーに置かれていた。改ざんされたのは月に170万のアクセスがある人気サイト。ロシアの攻撃サーバーということで、こちらも8080系の改ざん攻撃を受けたのかもしれない。ちなみにこの攻撃サーバーには、Adobe Readerの脆弱性を突くコードも仕掛けられていた。Adobe Readerは、14日にアップデータが公開されたばかり。こちらも最新版の「9.3.2」にしておこう。

(2010/04/16 ネットセキュリティニュース)

■Javaソフトウェアのインストール状況のテスト
http://www.java.com/ja/download/installed.jsp
■Java のダウンロード
http://java.com/ja/download/
■Java SE 6 Update 20 Release Notes[英文](Sun Developer Network)
http://java.sun.com/javase/6/webnotes/6u20.html
■Java Deployment Toolkit の脆弱性を悪用したゼロディ攻撃を観測(IBM Tokyo SOC Report)
https://www-950.ibm.com/blogs/tokyo-soc/entry/javaws-201004?lang=ja
■Heads up - 0day ITW - Rihanna is a lure[英文](AVG Blogs)
http://thompson.blog.avg.com/2010/04/heads-up-0day-itw-rihanna-is-a-lure.html

投稿情報: 09:40 |

|