「Java Web Start」に脆弱性--Windowsユーザーに研究者が警告

文:Elinor Mills(CNET News) 翻訳校正:中村智恵子、福岡洋一

2010-04-12 10:27

 Javaに脆弱性が見つかったと、2人の研究者が米国時間4月9日に警告を発した。悪意のあるコードが含まれるウェブページをWindows搭載マシンで訪れると、乗っ取られるおそれがあるという。

 GoogleエンジニアのTavis Ormandy氏はメーリングリスト「Full Disclosure」で詳細を明らかにし、WintercoreのエンジニアRuben Santamarta氏も、この件について同社のブログに記事を書いた。

 問題があるのは「Java Web Start」フレームワークで、これは開発者によるJavaアプリケーション作成を簡単にするものだ。Ormandy氏によると、ブラウザでJavaプラグインを使用しない設定にしてもシステムを攻撃から守れないという。

 「このツールキットではURLパラメータについて最低限度の確認手段しか提供されず、Java Web Startユーティリティに任意のパラメータを渡すことが可能だ。Java Web Startユーティリティは、コマンドライン引数を通じてこの脆弱性を悪用できるだけの機能を備えている。この脆弱性は容易に発見し得るものなので、この文書を公開することが、ベンダーを除く全員にとっての最大の利益になると確信するに至った」と、Ormandy氏は記している。

 Kaspersky LabのThreat Postブログによると、Windowsの全ての現行版および「Firefox」「Internet Explorer」「Google Chrome」などの主要ブラウザがこの脆弱性の影響を受けるという。

 Ormandy氏がこの脆弱性についてSun Microsystemsに連絡したところ、四半期ごとの通常の修正パッチ公開スケジュール外でパッチを公開するほど緊急度が高いとは考えていない、との返事だったという。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]