1月にリリースされたJavaの最新アップデートにセキュリティ研究者による脆弱性が明らかになったことを受けて、Oracleは予定より早くこのプログラミング言語に対する一連の修正プログラムを急いでリリースした。
当初2月19日にリリース予定だった最新アップデートには、リモートから無許可で悪用可能な49件の脆弱性に対する50件のセキュリティ修正が含まれています。つまり、ユーザー名とパスワードを知らなくても、ネットワーク上で悪用される可能性があるということです。
オラクルは、アップデートで対処された脆弱性の1つがすでに悪用されているため、早期にアップデートしたと述べた。
「攻撃が成功した場合に生じる脅威のため、オラクルは顧客に対し、できるだけ早くCPUの修正プログラムを適用することを強く推奨する」と同社はアップデート勧告で警告した。
オラクルは、米国国土安全保障省のコンピュータ緊急事態対策チーム(US-CERT)がセキュリティ上の懸念を理由にJavaの全ユーザーに対し無効化を勧告したことを受け、1月にJavaのセキュリティ修正を急いでリリースした。この懸念とは、サイバー犯罪者が作成したツールキットがゼロデイ脆弱性を悪用し、コンピュータから機密情報を盗み出す可能性があることを意味していた。
この修正プログラムである Java 7 アップデート 11 がリリースされた後も、同庁は絶対に必要な場合を除いて Java をオフにすることを推奨していました。
7u11の修正が的外れだったことはすぐに明らかになりました。リリースからわずか数日後、あるハッカーがオンラインの闇市場で、2つの新たなJavaゼロデイ脆弱性を1つ5000ドルで売り始めました。
他のハッカーたちは、脆弱性を見つけるスキルが不足していると思われるため、Javaの苦境に関するニュースを悪用し、Oracleのプログラミング言語の偽のアップデートを提供するフィッシング攻撃を仕掛け始めました。ユーザーがこの偽のアップデートをインストールすると、システムにバックドアがインストールされ、ハッカーがシステムを制御できるようになります。
アップデートで欠陥が発見される
同月後半、Java のセキュリティ上の欠陥を発見してきた実績を持つポーランドのセキュリティ会社 Security Explorations が、プログラムのサンドボックスを回避するために悪用される可能性のある新しい脆弱性を 7u11 アップデートで発見したことで、Java の不運は続いた。サンドボックスとは、悪意のあるコードがシステムに与える可能性のある損害を隔離するために使用するプログラミング手法である。
「オラクルがサンドボックスを修正するまで、こうした問題は続くだろう」とビットディフェンダーの上級電子脅威アナリスト、ボグダン・ボテザトゥ氏はインタビューで語った。
Botezatu 氏は、Oracle が 7u11 アップデートでセキュリティを維持するためにユーザーにどれほど依存しているかについて批判的でした。
例えば、このアップデートでは、Javaのセキュリティレベルがデフォルトで最高レベルに設定されます。このレベルでは、署名されていないJavaアプレットがブラウザで実行しようとすると、アプリが危険な可能性があるため、自己責任で実行するようにという警告メッセージがポップアップ表示されます。
通常、ユーザーはこうした警告を煩わしいと感じて無視します。特に、ウェブ上でJavaゲームをプレイする子供たちに当てはまります。ボテザトゥ氏は、この事実はデジタル犯罪者にも当てはまると指摘しています。「子供向けのキーワードで最適化されたページで、Javaマルウェアを実行しているウェブサイトを数多く見てきました」と彼は言います。
最新のJavaアップデートで、OracleはJava 7の運勢を変えようとしているのかもしれません。どうやら、アップデート12を飛ばし、最新の修正バンドルをJava 7アップデート13と指定したようです。
