脆弱性とOracleに関するvifam84のブックマーク (2)
-
米Oracleは4月15日︵現地時間︶、Javaの脆弱性を解決するための臨時アップデートを公開した。脆弱性を突いた攻撃が既に発生している。 脆弱性は、JavaSEとJava For Businessに含まれるJava Deployment ToolkitとJavaプラグインに存在する。いずれも32ビット版のブラウザでJavaを実行した場合に影響を受ける。ユーザーが悪質なサイトを閲覧すると、攻撃者にシステム上でコマンドを実行されてしまう恐れがある。 脆弱性の危険度を示すCVSSベーススコアは、最高の﹁10.0﹂となっている。なお、サーバやスタンドアロンのJavaデスクトップアプリケーション、Oracleのサーバ向けソフトは影響を受けないという。 Oracleはこの問題を解決したJDK/JRE 6 Update 20を、Windows、Solaris、Linux向けにリリースした。脆弱性の危
-
セキュリティ企業AVG Technologiesは4月14日︵現地時間︶、Sun Java Deployment Toolkitの脆弱性を突いた攻撃が発生したもようだとブログで伝えた。 同社最高調査責任者のロジャー・トンプソン氏によると、脆弱性を発見した研究者がOracle側に問題を知らせたが、臨時パッチで対処する予定はないとの返答を受け、コンセプト実証︵PoC︶コードの公開に踏み切った。その5日後に、ロシアの攻撃サーバにこのコードが仕掛けられているのを発見したという。 攻撃には楽曲の歌詞を掲載しているサイトが利用され、リアーナやアッシャーといった人気歌手の歌詞を使ってユーザーをおびき寄せる手口が使われている。トンプソン氏は、﹁同様の攻撃が続発するのは必至だ﹂と臨時パッチの必要性を訴えている。 今回悪用されているのは、2008年4月にリリースされたJava 6 update 10の﹁Jav
-
1