修正されたばかりのJRE(Java Runtime Environment:Java実行環境)の脆弱性を狙う攻撃が確認されたとして、セキュリティ企業などが注意を呼びかけている。最新版を使用していない場合には、Webサイトを閲覧しただけでウイルスに感染してしまうおそれがある。
悪用が確認されたのは、今月17日、オラクルの定例アップデートで修正された脆弱性の1つだ。プログラムを安全に動作させる「サンドボックス」を迂回し、任意のコードを実行される可能性のある問題(CVE-2013-2423)で、アップデート直後から実証コードが公開されていた。フィンランドのセキュリティ企業エフセキュアのブログによると、これを悪用した攻撃が21日ごろから始まっているという。
この脆弱性を悪用した攻撃は、さまざまな脆弱性攻撃を仕掛けて閲覧者のパソコンに悪質なプログラムを強制的にインストールしようとする、「Exploit Kit(エクスプロイトキット)」の一部に組み込まれている。Exploit Kitは、改ざんされた国内の正規サイトから誘導される攻撃サイトでよく使われており、JREが未更新の場合には、Webサイトを閲覧しているだけで、知らない間にウイルスに感染してしまう可能性がある。
脆弱性攻撃の影響を受けるのは、「JRE 7 Update 17」以前のバージョン。最新版の「JRE 7 Update 21」にアップデート済みなら影響はない。
現在パソコンにインストールされているJREのバージョンは、下記の「Javaソフトウェアのインストール状況のテスト」のページで確認できる。最新版への更新は、Javaコントロールパネルの[アップデート]タブの[今すぐアップデート]ボタンで行える。
(2013/04/25 ネットセキュリティニュース)
【関連URL】
・Javaの脆弱性CVE-2013-2423に対するエクスプロイトが悪用される(エフセキュアブログ)
http://blog.f-secure.jp/archives/50700195.html
・Javaソフトウェアのインストール状況のテスト
http://www.java.com/ja/download/installed.jsp