2013年発見のJavaの脆弱性、完全に修正されていないことが発覚

3月14日(米国時間)、Threatpostに掲載された記事「Broken 2013 Java Patch Leads To Sandbox Bypass｜Threatpost｜The First Stop For Security News」が、2013年にJavaに発見された脆弱性(その多くはゼロデイ攻撃によって発見されたもの)のうちの1つが、2013年10月にOracleから発行されたセキュリティパッチによっては完全に修正されていないと伝えた。

対象の脆弱性はポーランドのセキュリティ企業「Security Explorations」の研究者らが発見したもの。Oracleは2013年の段階でJavaに見つかった脆弱性「CVE-2013-5838: Remote Attack Vulnerability」を修正するためのセキュリティパッチを公開しているが、このセキュリティパッチは問題を完全には修正しておらず、結果としてJavaサンドボックス・パイパスを実現できてしまうと指摘している。

Security Explorationsの設立者でありCEOを務めるAdam Gowdiak氏はまだOracleからの連絡がないこと、Full Disclosureにはその詳細を公開していないことなどを説明。Oracleからの正式な依頼がないため、情報提供も修正方法の提案なども行えない状態であることを示唆している。同氏はこの脆弱性の影響を確認したソフトウェアとして、Java SE 7 Update 97、Java SE 8 Update 74、Java SE 9 Early Access Build 1を挙げている。

本稿執筆時点で、Oracleからパッチの提供は行われていないため注意が必要。今後この脆弱性に関する情報に注目しておくとともに、Oracleからパッチが提供された段階で該当するプロダクトを使用している場合は迅速にアップデートを適用することが望まれる。