米US-CERTは現地時間1月12日,米Sun MicrosystemsのJava実行環境「Java Runtime Environment(JRE)」のセキュリティ・ホールを悪用するWebサイトが確認されたとして注意を呼びかけた。それらのサイトへアクセスすると,悪質なプログラムを勝手に実行される恐れがある。US-CERTでは,「セキュリティ・ホールを修正したバージョンにアップグレードする」「ブラウザのJava機能を無効にする」といった対策を施すよう強く勧めている。
今回悪用されているセキュリティ・ホールは,11月末に明らかにされたもの(関連記事)。JREの「Reflection API」に関するセキュリティ・ホールである。悪用されると,Javaのセキュリティ機構(サンドボックス)を回避される。具体的には,細工を施したWebサイトにアクセスするだけで,パソコン中のファイルを読み書きされたり,アプリケーションを実行させられたりする可能性がある。
対策はセキュリティ・ホールをふさぐこと。Sun Microsystemsではセキュリティ・ホールを修正したJREならびにJava開発キット「Java Development Kit(JDK)」,Javaソフトウエア開発キット「Java Software Development Kit(SDK)」を公開している。セキュリティ・ホールの有無をチェックするサイトも存在する(関連記事)。
WebブラウザのJava機能を無効にすることも回避策となる。US-CERTでは,配布元が信頼できないJavaアプレットにアクセスしないことも回避策として挙げている。
◎参考資料
◆Malicious Website Exploiting Sun Java Reflection API Vulnerability(US-CERT)
◆Vulnerability Note VU#974188 Sun Java Reflection API privilege escalation vulnerabilities(US-CERT)
◆Security Vulnerabilities in the Java Runtime Environment May Allow an Untrusted Applet to Elevate Its Privileges(Sun Microsystems)
◆Sun Java JRE Sandbox Security Bypass Vulnerabilities(Secunia)
