「Java Web Start」に脆弱性--Windowsユーザーに研究者が警告

　Javaに脆弱性が見つかったと、2人の研究者が米国時間4月9日に警告を発した。悪意のあるコードが含まれるウェブページをWindows搭載マシンで訪れると、乗っ取られるおそれがあるという。

　GoogleエンジニアのTavis Ormandy氏はメーリングリスト「Full Disclosure」で詳細を明らかにし、WintercoreのエンジニアRuben Santamarta氏も、この件について同社のブログに記事を書いた。

　問題があるのは「Java Web Start」フレームワークで、これは開発者によるJavaアプリケーション作成を簡単にするものだ。Ormandy氏によると、ブラウザでJavaプラグインを使用しない設定にしてもシステムを攻撃から守れないという。

　「このツールキットではURLパラメータについて最低限度の確認手段しか提供されず、Java Web Startユーティリティに任意のパラメータを渡すことが可能だ。Java Web Startユーティリティは、コマンドライン引数を通じてこの脆弱性を悪用できるだけの機能を備えている。この脆弱性は容易に発見し得るものなので、この文書を公開することが、ベンダーを除く全員にとっての最大の利益になると確信するに至った」と、Ormandy氏は記している。

　Kaspersky LabのThreat Postブログによると、Windowsの全ての現行版および「Firefox」「Internet Explorer」「Google Chrome」などの主要ブラウザがこの脆弱性の影響を受けるという。

　Ormandy氏がこの脆弱性についてSun Microsystemsに連絡したところ、四半期ごとの通常の修正パッチ公開スケジュール外でパッチを公開するほど緊急度が高いとは考えていない、との返事だったという。