0001Be名無しさん
2013/01/30(水) 00:52:55.79米OracleがJavaに実装したセキュリティ対策について、「不正なJavaアプレットなどを使ってユーザーが
気付かないうちに仕掛けられる攻撃を阻止できないことが分かった」とセキュリティ企業が伝えている。
この情報は、ポーランドのセキュリティ企業Security Explorationsが1月27日にセキュリティメーリングリスト
の「Full Disclosure」に投稿した。
問題にしているのは、Oracleが2012年12月に公開した「Java SE 7 Update 10」に盛り込んだセキュリティ
強化措置。同アップデートでは無署名のJavaアプレットなどの扱いについて4段階のセキュリティレベルを
設定できるようになり、最高レベルの「Very High」に設定すると無署名のアプリの実行が阻止されるように
なった。
しかし、Security Explorationsはこうしたセキュリティ対策について、「理論上のものに過ぎず、実際には
セキュリティレベルの設定に応じた警告メッセージを表示させることなく、無署名の悪質なJavaコードを実
行することが可能」だと主張する。
実際に同社は、セキュリティレベルの設定にかかわりなく、無署名のJavaコードをWindows上で実行する
ことに成功したと報告。同社は先に、Java 7 Update 11の未解決の脆弱性を発見したと伝えており、
Windows 7上でセキュリティレベルを「Very High」に設定した状態で、この脆弱性が悪用できることを実証
したとしている。
結論としてSecurity Explorationsは、Java SE 7のセキュリティ機能が強化されても、不正なJavaプラグ
インを使ってユーザーが気付かないうちに仕掛けられる攻撃を防ぐことはできないと解説。
