インフィニティソリューションズ株式会社ブログ

新しいJavaの脆弱性が発覚。今度は影響大

Java 7の脆弱性については、「Java 7の脆弱性を悪用する攻撃から身を守るには」で触れたが、これはJava 7に限った脆弱性であった。今度はJava 7に限らず、過去8年間のバージョンに共通の脆弱性が発覚した。

InformationWeekの「Java Vulnerability Affects 1 Billion Plug-ins(100億のプラグインに影響があるJavaの脆弱性)

‘Anyone still using a Java plug-in in their Web browser, beware: Another major, new—and as yet unpatched—vulnerability has been spotted in Java.’

「まだウェブブラウザでJavaプラグインを使っている人は要注意。新たな、まだパッチが出ていない、脆弱性がJavaで明らかになった。」

Security Explorations

‘Unfortunately, unlike a number of the other, recently spotted Java bugs, the latest security issue affects not just the current, version 7 of Java, but also versions 5 and 6. In other words, every version of Java released for the past eight years, collectively used by approximately one billion people, is vulnerable to the exploit.’

「残念ながら、多くのほかのものとは違う、今回のJavaのバグによるセキュリティ問題は、現行のJava バージョン7のみでなく、バージョン5、バージョン6でも影響がある。いいかえれば、合わせて約10億人に使われている過去8年間にリリースされたすべてのJavaのバージョンで脆弱性がある。」

‘Gowdiak said his firm successfully demonstrated the vulnerability on Java SE 5 Update 22, Java SE 6 Update 35, and Java SE 7 Update 7, using a fully patched 32-bit Windows 7 system, as well as five different Web browsers: Firefox 15.0.1, Google Chrome 21.0.1180.89, Internet Explorer 9.0.8112.16421 (update 9.0.10), Opera 12.02 (build 1578), and Safari 5.1.7 (7534.57.2).’

「(SecurityExplorationsのセキュリティ・リサーチャであるAdamGowdiak氏は、完全にパッチをあてた32ビットのWindows7システムと5種類のウェブブラウザ、Firefox 15.0.01、Google Chrome 21.0.1180.89、Internet Explorer 9.0.8112.16421(update 9.0.10)、Opera12.02(build1578)、Safari5.1.7(7534.57.21)を使い、Java SE 5 Update 22、Java SE 6 Update 35、Java SE 7 Update 7で脆弱性を証明することに成功したとしている。」

‘Given the critical nature of the flaw, is it safe to use Java? “Taking into account that now the issue affects Java SE 5, 6, and 7, we advise users of Java SE software to disable Java plug-ins in their Web browsers and wait for the patches from Oracle,” said Gowdiak via email.’

「問題がクリティカルであること考えると、Javaを使うのは安全なのか。『この問題がJava SE 5、6、7に影響があることを考えると、Java SEのユーザはウェブぶらうざでJavaプラグインを無効にし、Oracleからのパッチを待つことを勧める』とGowdiak氏はメールで答えている。」

‘When might the relevant vulnerability be patched by Oracle? The company’s next regularly scheduled, quarterly patch release is due October 16, 2012, meaning there might not be enough lead time for the company to properly code and test a fix. On the upside, however, Gowdiak said he’s seen no evidence that the bug, which his company reported privately to Oracle—has been spotted by anyone else, or that it’s being used in in-the-wild attacks.’

「関連する脆弱性に対するパッチはOracleからいつ出てくるのか。同社の次の4半期ごとのパッチリリースは2012年10月16日に予定されているが、これでは、正しくコーディングし、テストするには十分でないかもしれないことを意味する。しかし、Gowdiak氏は、Security Explorations社はOracleに報告したバグは、他の誰かに指摘された、あるいはワイルドなアタックで使われたという証拠はない、としている。」