パソコンソフト/パソコンソフト関連ニュース

【号外】 Java実行環境に脆弱性!

広く用いられているJavaソフトウェア実行環境「JRE」に深刻な脆弱性が発見されました。Windows、Mac、Linuxを問わず、JREがインストールされている環境全般に大きな被害をもたらすことが懸念されます。

執筆者:中妻 穣太

  • このエントリーをはてなブックマークに追加

スパイウェアの記事の続編をお待たせしてしまっていますが、これよりちょいと先に、少々深刻な脆弱性について号外を出させていただきたいと思います。ご一読の上、ご自身の環境を確認して、早急に対処されるようお勧めいたします。


Java実行環境に脆弱性、OSは問わない

さまざまな方面で広く利用されているプログラミング言語「Java」の実行環境、ならびに開発者用ツールに脆弱性が発見されました。デンマークのセキュリティベンダSecuniaはこの脆弱性を「Highly(5段階中、上から2番目)」と位置づけています。

Secunia: Sun Java Plug-in Sandbox Security Bypass Vulnerability(英語)
CNET Japan: Javaプラグインに「極めて深刻」な脆弱性--WindowsやLinuxに影響
ITmedia: Windows、LinuxのJavaに重大な脆弱性

Javaとはサン・マイクロシステムズ社が開発したプログラミング言語ですが、Javaという呼び名は言語そのものよりむしろ、その「実行環境」について有名になっています。
Javaの売り文句は「一度プログラムを書けば、どんなOS上でも実行できる」。Javaプログラムを実行させるために、あらかじめ「Java仮想マシン」をインストールし、その上でJavaプログラムを実行させることで、OSが何であっても同じプログラムを実行できます。
実際にはすべてのJava実行環境が同一なわけではありませんが、それでも複数のプラットフォーム向けにソフトウェアをリリースすることが格段にたやすいため、Javaは様々な用途で広く用いられるようになりました。

ところが今回、このJava実行環境そのものに脆弱性が発見されました。
Javaには本来、外部からダウンロードしてきたような信頼できないプログラムを「箱から出さない」ようにするシステム「サンドボックス」が備わっていますが、このサンドボックスの制限を迂回し、悪意あるプログラムを実行させるようなスクリプトコードをWeb上で書くことができてしまいます。

ここで、「一度プログラムを書けば、どんなOS上でも実行できる」というJavaの性質が逆に災いしてしまいます。Java実行環境がインストールされていさえすれば、それがWindowsだろうがMacだろうがLinuxだろうが、同じように攻撃を受けてしまうのです。
さらにこの脆弱性はリモートから任意のコードを実行できるような性質であるため、ウィルスに応用されれば広範囲に被害が及ぶことが予想されます。

更新日:2004年11月25日

あわせて読みたい

    この記事を読んで良かったですか?

    良かった

    0

    この記事を共有する