オラクル、「Java」の緊急パッチをリリース--深刻な脆弱性2件を修復

　ウェブブラウザで実行される「Java」の2つの脆弱性をハッカーが盛んに悪用していたことが判明したのを受けて、Oracleは緊急パッチをリリースした。そのパッチで今回の問題に対処できるはずだという。

　Oracleは米国時間3月4日のセキュリティアラートの中で、「これらの脆弱性は、認証なしでリモートから悪用することが可能だ。言い換えると、ユーザー名やパスワードを入力しなくても、ネットワーク経由で悪用することができる。攻撃が成功するためには、ブラウザで脆弱性のあるリリースを実行している無防備なユーザーが、これらの脆弱性を悪用する悪質なウェブページを訪問しなければならない。攻撃が成功した場合、ユーザーのシステムの可用性と完全性、機密性が影響を受ける可能性がある」としている。

　先頃、ハッカーがJavaの脆弱性の1つを悪用してユーザーのコンピュータに侵入し、「McRAT」マルウェアをインストールしていたことが明らかになった。インストールされたMcRATはコマンドにアクセスしてサーバを制御し、「Windows」システムの全ファイルに自らをコピーする。

　Oracleは2月に最新のゼロデイ脆弱性のパッチをリリースしてからほんの数日後に、これら2つの新しいエクスプロイトを発見した。Oracleは、4月にリリース予定の四半期ごとのアップデートまで待ってからパッチを公開するのではなく、3月4日に緊急パッチを公開する道を選択した。

　OracleのSoftware Security Assurance担当ディレクターであるEric Maurice氏は4日、ブログ投稿の中で、「すべてのJava SEユーザーのセキュリティ体制が保たれるよう支援するため、Oracleはこの脆弱性とそれに密接に関連する別のバグの修正を可能な限り早くリリースすることに決めた」と述べた。