米Oracleが脆弱性を修正したばかりのJava最新バージョンで新たな脆弱性を確認したとして、ポーランドのセキュリティ企業Security Explorationsがセキュリティメーリングリストの「Full Disclosure」に概略を投稿した。
それによると、同社は「Java 7 Update 11」(JRE 1.7.0_11-b21)に新たな2件の脆弱性を発見し、コンセプト実証(PoC)コードを添えて1月18日にOracleに報告したという。この脆弱性を利用すれば、Javaに実装されたセキュリティ機能のサンドボックスを完全に迂回できることが確認できたとしている。
Javaは未解決の脆弱性を突く攻撃が横行したことを受け、Oracleが1月13日にJava 7 Update 11を臨時公開し、脆弱性に対処していた。しかしセキュリティ企業のImmunityは、同バージョンで修正されたのは攻撃に使われていた2件の脆弱性のうちの1件にすぎず、もう1件の脆弱性は未解決のまま残っていると指摘していた。
Security Explorationsが今回発見した2件の脆弱性は、これとは別のものだと主張している。
Copyright © ITmedia, Inc. All Rights Reserved.