国内でもJava Deployment Toolkit の脆弱性を悪用したゼロディ攻撃が観測され始めた模様。
Firefoxのアドオン→プラグイン |
CVSSベーススコアが最高の深刻度合いを示す「10.0」で、Firefoxでも
プラグインのJava Deployment toolkit 6.0.190.4はセキュリティ上の問題があるため、ユーザ保護のために無効化しますという表示を出して強制的に無効化する措置が採られているほど大変深刻な大穴だ。
何はともあれ、Javaのバージョン確認でVersion 6 Update 20になっていないユーザは無料 Java のダウンロードよりダウンロードして可及的速やかにアップデートしましょう。
ちなみに
今回悪用されているのは、2008年4月にリリースされたJava 6 update 10の「Java Web Start」という機能。同機能を使ってWebサイトからプログラムを実行できるようになったため、「攻撃側にも便利な機能として使われてしまった」とトンプソン氏は指摘している。という事で、Java Web Startというのは「Javaアプレットの代替物になるリッチクライアントと言われている」代物だそうだ。
【参照】
●ITpro http://itpro.nikkeibp.co.jp/
┗Javaの新しい脆弱性を突く攻撃出現、国内企業で被害を確認 2010年4月15日
●ITmedia News http://www.itmedia.co.jp/news/
┣Javaの脆弱性を突く攻撃発生、歌詞サイトで悪用 2010年4月15日
┗OracleがJavaの臨時アップデートを公開 2010年4月16日
●ibm.com コミュニティー https://www-950.ibm.com/
┗Java Deployment Toolkit の脆弱性を悪用したゼロディ攻撃を観測 2010年4月15日
●Japan Vulnerability Notes http://jvn.jp/
┗JVNVU#886582: Oracle Sun Java Deployment Toolkit に引数の検証処理に問題 2010年4月16日
●Java.com http://www.java.com/ja/
┣無料 Java のダウンロード
┗Javaのバージョン確認
●Wikipedia http://ja.wikipedia.org/
┣Javaアプレット
┗Java Web Start