Javaアプリケーションを実行するためのJRE(Java Runtime Environment:Java実行環境)の脆弱性を突く実証コードが、先月末に公開されたことが分かった。Webサイトを閲覧するだけでウイルスに感染してしまう、ドライブバイダウンロード攻撃に転用されるおそれがある。
公開されたコードは、脆弱性評価システム「CVSS」で最高値の10.0と評価されている、スクリプトエンジンのコード実行の脆弱性「CVE-2011-3544」を突いたもの。この脆弱性は、JRE 7とUpdate 27以前のJRE 6に影響し、オラクルはこの問題を含む複数の脆弱性を修正した最新版、JRE 7 Update 1(1.7.0_1)とJRE 6 Update 29(1.6.0_29)を10月に公開している。
現在パソコンにインストールされているJREのバージョンは、Javaコントロールパネル(パソコンのコントロールパネルのJavaアイコンから開ける)、または下記の「Javaソフトウェアのインストール状況のテスト」ページで確認できる。最新版への更新は、Javaコントロールパネルの[アップデート]タブの[今すぐアップデート]ボタン)で入手できるほか、同社サイトからダウンロードすることもできる。
JREは、多くのパソコンにインストールされれていることもあり、脆弱性攻撃の標的にされることが多い。今年上半期のセキュリティ動向をまとめた「マイクロソフトセキュリティインテリジェンス レポート第11版」によると、今年上半期に最もよく見られた攻撃が、このJREなどのJava関連の脆弱性を標的としたもの。前年下半期からの1年間では、検出された全攻撃の3分1から2分1を占めているという。
今回の実証コード公開により、この脆弱性がドライブバイダウンロード攻撃に悪用される可能性が高まっているので、未更新の方は早急に最新版にアップデートしていただきたい。
(2011/12/01 ネットセキュリティニュース)
【関連URL】
・Javaソフトウェアのインストール状況のテスト
http://www.java.com/ja/download/installed.jsp
・Javaのダウンロード
http://java.com/ja/download/
・セキュリティインテリジェンスレポート(マイクロソフト)
http://www.microsoft.com/ja-jp/security/resources/sir.aspx
・CVE-2011-3544
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544