どうしてもJavaを実行する必要がない限りは無効にするようUS-CERTは助言する。今回修正されたのは、攻撃に利用されていた2件の脆弱性のうちの1件にすぎないとの指摘もある。
Javaの未解決の脆弱性を突く攻撃が横行したことを受け、セキュリティ業界では今後も同様の攻撃が続くと予想、Javaを無効にするよう呼び掛ける動きが広がっている。
米Oracleは1月13日に「Java 7 Update 11」を臨時公開し、攻撃に利用されていた脆弱性も含めて2件の脆弱性に対処した。1月上旬の時点でこの脆弱性を突く攻撃が横行し、悪名高い攻撃用ツールキットにもこの脆弱性を悪用するコードが実装されていた。
米US-CERTはOracleのアップデート公開を受けて、14日付でセキュリティ情報を改訂。解決策として、Java 7 Update 11へのアップデートを促した。同時に、「Java 7 Update 11に更新した後も、WebブラウザでどうしてもJavaを実行する必要がない限りは無効にすること。そうすれば、今後発見されるかもしれない他のJavaの脆弱性をしのぐ一助となる」と助言している。
セキュリティ企業のImmunityは14日のブログで、Java 7 Update 11で修正された脆弱性は、攻撃に利用されている2件の脆弱性のうちの1件にすぎず、もう1件の脆弱性は未解決のまま残っていると指摘した。「Javaについて十分な知識を持つ攻撃者が、今回修正された1件の代わりに別のゼロデイの脆弱性を利用すれば、容易に攻撃を続行できる」と解説している。
Copyright © ITmedia, Inc. All Rights Reserved.