United States Computer Emergency Readiness Team(US-CERT)の報告書によると、セキュリティ研究者らは、Oracleの「JInitiator」が使用するActiveXコントールにセキュリティ脆弱性を発見したという。JInitiatorは、ユーザーがウェブブラウザ上で「Oracle Developer Server」アプリケーションを実行できるようにするものである。
US-CERTのメンバーらによると、この脆弱性はJInitiator 1.1.8.16とそれ以前のバージョンに存在しているようだという。このセキュリティ脆弱性を悪用することで、攻撃者はユーザーのシステムを遠隔から制御し、任意のプログラムを実行できるようになる。
セキュリティ調査会社Secuniaの投稿によると、悪意のある攻撃者は、ある特定の初期化パラメータをOracle JInitiatorの「beans.ocx」Active Xコントロールに処理させることで、この脆弱性を悪用する可能性があるという。Secuniaでは、この脆弱性を5段階評価で2番目に危険度の高い「きわめて深刻(highly critical)」としている。
このため、攻撃者はユーザーを騙して悪質なウェブサイトにアクセスさせ、スタックベースのバッファオーバーフローを起こさせる可能性がある。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
