日本IBMは2010年4月15日、Javaの開発・実行環境である「Java SE 6 Update 10」以降に含まれる「Java Deployment Toolkit」の脆弱(ぜいじゃく)性を突く攻撃を確認したとして注意を呼びかけた。細工が施されたWebサイトにアクセスするだけで被害に遭う恐れがある。同社によれば、国内のある企業で被害が観測されたという。対策は、同日公開された最新版「Java SE 6 Update 20」に更新すること。
米オラクルが提供するJava SE 6 Update 10以降に含まれるJava Deployment ToolkitのプラグインおよびActiveXコントロールには、入力データを適切に検証しない脆弱性が見つかり、4月9日に公表された。このため、このプラグイン/ActiveXコントロールがインストールされた環境で、細工が施されたWebサイトにアクセスすると、悪質なプログラムを実行される危険性がある。
日本IBMでは、この脆弱性を悪用した攻撃を確認。あるWebサイトにアクセスすると、今回の脆弱性を悪用するプログラムが、ほかの脆弱性を悪用するプログラムとともにダウンロードされる状態になっていた。実際、ある国内企業がこの攻撃の被害に遭ったことを観測したとしている。
攻撃が確認された時点では修正版は未公開だったが、4月15日になると、米オラクルは今回の脆弱性を解消したJava SE 6 Update 20を公開。日本IBMでは、同バージョンをインストールした環境では被害に遭わないことを確認している。
すぐにアップデートできない環境では、回避策を実施する。回避策は、Java Deployment Toolkitのプラグイン/ActiveXコントロールをWebブラウザーで無効にすること。具体的には、Internet ExplorerではクラスID「CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA」のActiveXコントロールを無効にする。
Firefoxでは、「ツール」メニューから「アドオン」を選択して、「プラグイン」の中から「Java Deployment Toolkit」を選んで、「無効化」ボタンをクリックする。回避策の詳細については、日本IBMの情報などを参照してほしい。
