2月に修正されたばかりのJRE(Java Runtime Environment:Java実行環境)の脆弱性を突く実証コードが、先週公開されたことが分かった。Webサイトを閲覧するだけでウイルスに感染してしまう、ドライブバイダウンロード攻撃に転用されるおそれがある。
公開されたコードは、脆弱性評価システム「CVSS」で最高値の10.0と評価されている、「Java Web Start」の脆弱性「CVE-2012-0500」だ。
Java Web Startは、Javaで書かれたアプリケーションをブラウザ上から起動できるようにするためのもので、JREと一緒にシステムにインストールされる。このJava Web Startには、Javaアプリケーションの起動に使用するJNLP(Java Network Launching Protocol)ファイルの処理に問題があり、細工されたJNLPファイルを開くと、任意のコードが実行される可能性があった。
この脆弱性は、JRE 7 Update 2以前とJRE 6 Update 30以前のJREに影響し、オラクルはこの問題を含む複数の脆弱性を修正した最新版、JRE 7 Update 3(1.7.0_3)とJRE 6 Update 31(1.6.0_31)を2月に公開している。
JREは、多くのパソコンにインストールされていることもあり、脆弱性攻撃の標的にされることが多い。現時点では、この脆弱性を悪用した攻撃は報告されていないが、実証コードの公開でドライブバイダウンロード攻撃に悪用される可能性が高まっている。
JREが古いままのパソコンでは、Webサイトを閲覧するだけでウイルスに感染してしまうおそれがあるので、未更新の方は早急に最新版にアップデートしていただきたい。
現在パソコンにインストールされているJREのバージョンは、Javaコントロールパネル(パソコンのコントロールパネルのJavaアイコンから開ける)、または下記の「Javaソフトウェアのインストール状況のテスト」ページで確認できる。最新版への更新は、Javaコントロールパネルの[アップデート]タブの[今すぐアップデート]ボタンで入手できるほか、同社サイトからダウンロードすることもできる。
(2012/03/02 ネットセキュリティニュース)
【関連URL】
・Javaソフトウェアのインストール状況のテスト
http://www.java.com/ja/download/installed.jsp
・Javaのダウンロード
http://java.com/ja/download/
【関連記事:ネットセキュリティニュース】
・オラクル、深刻な脆弱性を修正した「JRE 6/7」の最新版を公開(2012/02/15)