2013年発見のJavaの脆弱性、完全に修正されていないことが発覚

3月14日(米国時間)、Threatpostに掲載された記事「Broken 2013 Java Patch Leads To Sandbox Bypass｜Threatpost｜The First Stop For Security News」が、2013年にJavaに発見された脆弱性(その多くはゼロデイ攻撃によって発見されたもの)のうちの1つが、2013年10月にOracleから発行されたセキュリティパッチによっては完全に修正されていないと伝えた。

対象の脆弱性はポーランドのセキュリティ企業「Security Explorations」の研究者らが発見したもの。Oracleは2013年の段階でJavaに見つかった脆弱性「CVE-2013-5838: Remote Attack Vulnerability」を修正するためのセキュリティパッチを公開しているが、このセキュリティパッチは問題を完全には修正しておらず、結果としてJavaサンドボックス・パイパスを実現できてしまうと指摘している。

Security Explorationsの設立者でありCEOを務めるAdam Gowdiak氏はまだOracleからの連絡がないこと、Full Disclosureにはその詳細を公開していないことなどを説明。