7月20日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
国際的なボットネットのテイクダウン作戦(2014/07/11)
2014年6月2日、金融機関関連情報を窃取する不正プログラム「Game Over Zeus(GOZ)」、身代金要求型不正プログラム「Cryptolocker」を駆除するための国際的な取り組みが始まりました。米国FBI(連邦捜査局)や警察庁の報告によれば、世界中で推定100万台近くの端末がGOZに感染しており、その約25%が米国、約20%が日本にあるとしています。この国際的な取り組みには、米国、オーストラリア、オランダ、ドイツ、フランス、イタリア、日本、ルクセンブルク、ニュージーランド、カナダ、ウクライナ、英国の法執行機関が関わっています。
7月11日、米司法省から、取り組みの経過が発表されました。この発表によれば、指令サーバーとの通信から試算したボットの数は、2014年6月6日時点の20万407ノードから、7月7日時点で13万7863ノードと、31%減少したとのことです。
感染有無を判定するサイト(https://goz.shadowserver.org/gozcheck/)も用意されていますので、感染有無を確認してみてください。感染の兆候がない場合には、次のような結果が表示されます。
- 警察庁:国際的なボットネットのテイクダウン作戦(インターネットバンキングに係る不正送金事犯に関連する不正プログラム等の感染端末の特定及びその駆除について)
- 米司法省:Disruption of Gameover Zeus and Cryptolocker
- 米司法省:Department of Justice Provides Update on Gameover Zeus and Cryptolocker Disruption
- テレコム・アイザック推進会議:インターネットバンキングに係るマルウエア感染者に対する注意喚起について
- JPCERT/CC:国際的 なボットネットのテイクダウン作戦に協力
Java SE 7 Update 65、Java SE 8 Update 11リリース(2014/07/16)
Java SE 7 Update 65には、Java SE、JRockitコンポーネントに関する計19件のセキュリティアップデート、Java SE 8u11には計18件のセキュリティアップデートが含まれています。報告された脆弱性は、いずれも認証操作なしでリモートからの攻撃を許してしまう脆弱性です。また、これらのリリースには、JAXP(Java API for XML Processing)処理に、XMLドキュメントの要素の深度を制限するプロパティmaxElementDepth が導入されました。
なお、Java SE 6に関しては、2013年2月の公式アップデート終了後も脆弱性が報告されていますので(図2)、Java 7にアップデートする必要があります。
- オラクル:Oracle Critical Patch Update Advisory - July 2014
- オラクル:Java 7 Update 65(7u65)リリースノート
- オラクル:Java 7リリースのハイライトJava 7 Update 65(7u65)
- オラクル:Java 8 Update 11(8u11)リリースノート
