2年ぶりのJavaゼロデイ脆弱性

サンドボックスのJava Web StartアプリケーションやサンドボックスのJavaアプレットに影響するゼロデイ脆弱性が最近発表された。これは、2年ぶりのゼロデイ脆弱性だ。この脆弱性は簡単に攻撃されるものであり、すでに攻撃を受けているという懸念から、最高のCVSSリスクスコアが与えられた。Oracleはパッチを提供し、できるだけ早くアップグレードするようユーザに求めている。

CVE-2015-2590として識別されたこの脆弱性は、NATOや米国防衛組織に送られた多数のEメールを分析後、Trend MicroのSmart Protection Networkによって発見された。Eメールは前述の脆弱性を攻撃するJavaアプレットが埋め込まれたウェブサイトを示すリンクを含み、被害者のコンピュータでリモートコードが実行されるようになっていた。

この脆弱性は、Javaランタイム全体に影響するものではなく、Java Web StartアプリケーションとJavaアプレットにのみ影響するものであることを知っておいてほしい。サーバやローカルでJavaアプリケーションを実行するクライアントは影響を受けない。つまり、上記のアプリケーションを含むウェブサイトを参照していないユーザはリスクがない。問題のウェブサイトを参照したユーザに対して、Oracleは、ユーザのプロファイルに応じて、2つのレベルのリスクを確認した

この攻撃はコードが実行ユーザによって実行されるため、攻撃の影響範囲は、ユーザがアドミニストレータの権限を持っているかどうかで異なる。LinuxやSolaris、Windows Vista以降のWindowsにおいて、ユーザは、通常、アドミニストレータ権限を持たない。(Windows Vista以降のユーザは、そのような権限を持つかもしれないが、上位モードに入るためには明示的な確認が必要とされる) このような場合、OracleのCVSSスコアは10のうち7.5だ。しかし、まだ多くのユーザに使われているWindows XPのようなシステムは、通常、標準ユーザにアドミニストレータ権限が与えられているため、コードのリモート実行には非常に脆弱だ。このようなプロファイルを持つ場合、Oracleは10のうち10のスコアを与えた。

Oracleは、7月14日に定期的なCPU (Critical Patch Update) の一部として、この脆弱性の修正をリリースした。CPUは四半期ごとにリリースされ、前四半期に修正された脆弱性の修正が含まれる。この修正は、おそらく脆弱性の発見と定期的なアップデートの日が近かったため、定期的なアップグレードの一部としてリリースされた。脆弱性が別の時期に発見されていたら、CVE-2013-1493と同じように、Oracleは不定期のセキュリティアラートアップデートをリリースしただろう。