[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

必要なければJavaは無効に――今後も攻撃は続くと米機関が予想

どうしてもJavaを実行する必要がない限りは無効にするようUS-CERTは助言する。今回修正されたのは、攻撃に利用されていた2件の脆弱性のうちの1件にすぎないとの指摘もある。

» 2013年01月16日 07時42分 公開
[鈴木聖子,ITmedia]

 Javaの未解決の脆弱性を突く攻撃が横行したことを受け、セキュリティ業界では今後も同様の攻撃が続くと予想、Javaを無効にするよう呼び掛ける動きが広がっている。

 米Oracleは1月13日に「Java 7 Update 11」を臨時公開し、攻撃に利用されていた脆弱性も含めて2件の脆弱性に対処した。1月上旬の時点でこの脆弱性を突く攻撃が横行し、悪名高い攻撃用ツールキットにもこの脆弱性を悪用するコードが実装されていた。

 米US-CERTはOracleのアップデート公開を受けて、14日付でセキュリティ情報を改訂。解決策として、Java 7 Update 11へのアップデートを促した。同時に、「Java 7 Update 11に更新した後も、WebブラウザでどうしてもJavaを実行する必要がない限りは無効にすること。そうすれば、今後発見されるかもしれない他のJavaの脆弱性をしのぐ一助となる」と助言している。

 セキュリティ企業のImmunityは14日のブログで、Java 7 Update 11で修正された脆弱性は、攻撃に利用されている2件の脆弱性のうちの1件にすぎず、もう1件の脆弱性は未解決のまま残っていると指摘した。「Javaについて十分な知識を持つ攻撃者が、今回修正された1件の代わりに別のゼロデイの脆弱性を利用すれば、容易に攻撃を続行できる」と解説している。

関連キーワード

Java | 脆弱性 | US-CERT | ゼロデイ攻撃


Copyright © ITmedia, Inc. All Rights Reserved.