Javaプラグインに「極めて深刻」な脆弱性--WindowsやLinuxに影響

　Sun MicrosystemsのJavaプラグインに欠陥が見つかった。この欠陥が悪用されると、Microsoft WindowsやLinuxが動作するPCにウイルスが感染する可能性がある。

　この脆弱性は、フィンランド人のセキュリティ研究者Jouko Pynnonenが6月に発見したものだが、その詳細は米国時間23日まで明らかにされていなかった。Sunは先月すでにこの問題を修正していた。セキュリティ情報プロバイダーのSecuniaは、この欠陥に関する情報を載せた勧告のなかで、その深刻度を「極めて深刻」としている。

　Javaプラグインは、アプレットと呼ばれるウェブプログラムが、ユーザーのコンピュータ上で安全に動作できるようにするもの。しかし、今回見つかったセキュリティ上の欠陥によって、悪質なウェブサイトにアクセスしたブラウザでは、こうした保護手段が無効になってしまう。

　「（ウェブページへのアクセスは別にすれば）ユーザーが全く操作しなくても、攻撃者が用意したコードが実行されてしまう。このような状態は、通常『深刻』に分類される」と、PynonnenはCNET News.comとの電子メール・インタビューのなかで述べ、さらに「同じエクスプロイトコードをつかって、さまざまなOSやブラウザに攻撃を仕掛けられるので、事態はさらに深刻だ」と付け加えている。

　この脆弱性は、WindowsやLinuxなどのOSを搭載していたり、Internet ExplorerやFirefoxといった主要ブラウザを利用しているシステムへの攻撃に使われる可能性があるため、膨大な数のシステムがこの攻撃の危険にさらされていることになる。

　攻撃者はこの欠陥を悪用して、たとえば被害者のマシン内にあるファイルを閲覧／修正／実行したり、マシンに新しいプログラムを追加したり、あるいはデータを送信するなど、ユーザーが通常できることはすべてできてしまうと、Pynnonenは23日付けの勧告に記している。

　これまで主要な各ブラウザで、セキュリティの問題が見つかったことは数多くあったが、今回のようにJava関連でこうした欠陥が見つかるのはめずらしい。Javaは、インターネットからダウンロードしたプログラムを、さまざまなOS上で安全に実行できるよう設計されている。システムの他の部分からJavaアプレットを分離する「サンドボックス」は通常問題なく動作する。

　しかし今回の欠陥により、外部プログラムの利用を想定していないJavaの機能をJavascriptを使って実行できてしまう。

　なお、Sun社長のJonathan Schwartzは、先週Solaris 10の詳細について発表を行った際に、これまでJavaの欠陥をついたウイルスによって被害が出たことは1度もないと強調していた。