Oracle にとっては、またしてもデジャブだ。
先週Javaプログラミング言語で発見された重大なセキュリティ欠陥に対するパッチをリリースしてからわずか数日後、このソフトウェアは再び注目を集めている。このプログラムのこれまで公表されていなかった別の欠陥が、いまだにこのアプリケーションが稼働している可能性のある何百万台ものPCのセキュリティを脅かすからだ。
オラクルは日曜日、Javaの欠陥に対する修正プログラムをリリースした。この欠陥は非常に深刻であるため、米国土安全保障省は、コンピュータユーザーに対し、使用が「絶対に必要な場合」を除き、同ソフトウェアを無効にするよう推奨した。
このアドバイスは、パッチがユーザーに公開された後も、同省のコンピュータ緊急対策チーム (US-CERT) によって月曜日に繰り返された。
脆弱性を売りに出す
現在、ある野心的なブラックハットが、最新バージョンの Java (バージョン 7、アップデート 11) の新しいゼロデイ脆弱性を、最大 2 人の購入者に 1 人あたり 5,000 ドルで売りつけていると報じられています。
セキュリティブロガーのブライアン・クレブス氏によると、この脆弱性を武器化したバージョンとソースコードバージョンの両方が販売されていたという。同氏はサイバー犯罪専門フォーラムでこのオファーを発見した。
クレブス氏がこの申し出を発見して以来、この申し出は犯罪フォーラムから削除されており、売り手がこの悪用の買い手を見つけたことを示唆しているという。
「私の考えでは、これは、プログラムを隔離するための慎重な手順を踏まずにエンドユーザーの PC に Java をインストールすることの安全性とセキュリティについて人々が抱く幻想を払拭するはずだ」とクレブス氏は書いている。
ウイルス対策ソフトメーカー Bitdefender の上級電子脅威アナリスト Bogdan Botezatu 氏によると、この最新の Java エクスプロイトは、それが何であるか誰も知らないため、前回のものより悪質だという。
日曜日に修正された脆弱性については、セキュリティ研究者がいくつかの一般的なマルウェアキットでエクスプロイトコードを特定したと、彼は説明した。今回の脆弱性については、販売者のみが知っているという。
「現在の攻撃手法は、長期間にわたって未知のままになる可能性が高く、それによって攻撃者の攻撃機会も増えることになるだろう」とボテザトゥ氏は電子メールで述べた。
ボテザトゥ氏は今週初め、ブログで、オラクル社が日曜日にパッチを公開したにもかかわらず、サイバー犯罪者がパッチ未適用のマシンの脆弱性を悪用してランサムウェアをインストールし続けていることを指摘した。
オラクルのセキュリティ対策
オラクルは日曜日のパッチでゼロデイ脆弱性を修正しただけでなく、Javaのセキュリティ設定をデフォルトで「高」に引き上げました。「つまり、有効な証明書で署名されていないJavaアプレットの実行には、ユーザーが承認する必要があるということです」と、AlienVault Labsのマネージャー、ジェイミー・ブラスコ氏はメールで説明しました。
この動きはブラウザ上で Java をより安全にするための大きな一歩だが、Java の問題に対する万能薬には程遠いと Blasco 氏は指摘した。
「過去には、攻撃者が有効な証明書を盗み出して悪意のあるコードに署名することができた例があったので、この手法が使われても驚かないだろう」と彼は語った。
Java には脆弱性が多数存在すると思われるため、Bitdefender の Botezatu 氏は、Oracle に対し、ソフトウェアのコアコンポーネントを特定し、最初から書き直すことを推奨している。
Oracle が 9 月に予定している Java の次期バージョンをリリースする際に、ソフトウェアの大幅な書き換えが行われることは間違いありません。
