Javaに新たな脆弱性、すでにゼロデイ攻撃が発生

　セキュリティ研究者らは、広く普及しているJavaソフトウェアに新たな脆弱性を発見した。悪用されれば、攻撃者にコンピュータへのアクセスを許してしまうおそれがある。

　米コンピュータ緊急事態対策チーム（US-CERT）は米国時間1月10日に警告を発し、「Java 7 Update 10」およびそれ以前のバージョンのソフトウェアにある種の脆弱性が含まれており、悪用されれば認証されていないリモート攻撃者に任意のコードを実行されてしまうおそれがあると述べた。この攻撃は、セキュリティホールを利用する悪意のあるコードが仕組まれたウェブサイトをユーザーが訪問した場合に行われる可能性がある。

　この脆弱性はすでに「実際に」攻撃を受けており（つまり現実世界の脅威なのだ）、悪意のあるユーザーが簡単に攻撃を実行できるようにするためのエクスプロイトキットに組み込まれている。

　Javaを開発するOracleはまだ脆弱性への修正を公開していないため、研究者らは、当面Javaを無効にするようユーザーに呼びかけている。

　今回のゼロデイ脆弱性は、Malware don't need Coffeeというサイトの「Kafeine」というブロガーによってUS-CERTに報告された。Computerworldの記事によると、このエクスプロイトはAlienVault LabsとBitdefenderによって確認されたという（AlienVault Labsに問題を報告したのもKafeineだった）。

　米CNETはOracleにコメントを求めているが、本稿掲載時点で回答は得られていない。