アップルは4日、OS X Lion/Mac OS X 10.6用Javaの深刻な脆弱性を修正する、「Java for OS X Lion 2012-001」と「Java for Mac OS X 10.6 Update 7」を公開した。すでに脆弱性を悪用したドライブバイダウンロード攻撃が行われており、該当するユーザーは早急にアップデートしていただきたい。
今回のアップデートは、オラクルが2月に公開したJava SE 6 Update 31(1.6.0_31)に相当するもので、JRE(Javaランタイム環境)に影響する12件の脆弱性が修正された。
細工されたJavaアプレット(ブラウザがダウンロード・実行するJavaプログラム)で任意のコードが実行されるおそれのある深刻な脆弱性が複数含まれており、その中のひとつ、配列処理の問題(CVE-2012-0507)を悪用して悪質なプログラムをインストールさせようとする、ドライブバイダウンロード攻撃がすでに行われている。Webサイトの閲覧中にウイルスに感染してしまうおそれがあるので、Macユーザーは今すぐアップデートし、攻撃を防いでいただきたい。
アップデートは、アップルメニューの「ソフトウェア・アップデート」で自動インストールできるほか、同社のダウンロードページから、各OS用のアップデータが入手できる。
■Macユーザーを狙うドライブバイダウンロード攻撃
ユーザーを騙して、Flash Playerのインストーラーに偽装したウイルス(トロイの木馬)「Flashback」を実行させようとしていた攻撃者が、今年2月頃から、JREの脆弱性攻撃を悪用したドライブバイダウロード攻撃を併用するようになった。悪用された脆弱性は、昨年11月リリースのアップデートを適用していれば、すべて修正済みだったので、脆弱性攻撃を受けても防ぐことができた。
今年2月、オラクルは脆弱性の修正を含む最新版「1.6.0_31」をリリース。3月下旬には、この版で修正した脆弱性「CVE-2012-0507」を悪用した、Windowsを狙うドライブバイダウンロード攻撃が始まり、未修整状態が続くMacに波及する可能性が高まっていた。攻撃方法が明らかになってしまった以上、「Flashback」の脆弱性攻撃にいつ取り入れられてもおかしくない状況だったのだ。
アップルが提供するMac版のアップデートは、2008年末に行われた修正が半年間放置されて問題になったこともあったが、その後はおおむね1か月程度でリリースされていた。今回のアップデートも、前回や前々回並みの20日間の遅延で提供されていればよかったのだが、49日間という長いタイムラグが災いし、未修整のまま攻撃が始まってしてしまうという最悪の事態を招いてしまった。
(2012/04/05 ネットセキュリティニュース)
【関連URL:アップル】
・About the security content of Java for OS X Lion 2012-001 and Java for Mac OS X 10.6 Update 7[英文]
http://support.apple.com/kb/HT5228
・Java for OS X Lion 2012-001[英文]
http://support.apple.com/kb/DL1515
・Java for Mac OS X 10.6 Update 7[英文]
http://support.apple.com/kb/DL1516
【「Flashback」関連URL】
・未パッチのJava脆弱性を悪用するMac Flashback(エフセキュアブログ)
http://blog.f-secure.jp/archives/50659908.html
・Mac malware exploits unpatched drive-by Java vulnerability[英文](Sophos)
http://nakedsecurity.sophos.com/2012/04/03/mac-malware-java/
・New Flashback Variant Takes Advantage of Unpatched Java Vulnerability[英文](Intego)
http://www.intego.com/mac-security-blog/new-flashback-variant-takes-advantage-of-unpatched-java-vulnerability/