研究者はリリース後のJava 7パッチ時間で重大な脆弱性を発見

Security Explorationsは、金曜日にオラクルの脆弱性に関する報告をコンセプト実証と一緒に送信したと、セキュリティ会社の創設者兼CEOのAdam Gowdiak氏は電子メールで金曜日に述べている。 Gowdiak氏によると、この脆弱性に関する技術的な詳細は、オラクルが解決するまで公表する予定であると、Gowdiak氏は述べている。[

] [その他の情報：マルウェアを削除する方法あなたのWindows PC]

Oracleは木曜日の定期的な4か月のパッチ適用サイクルから、Java 7 Update 7をリリースしました。これは3つの脆弱性に対処する緊急セキュリティアップデートです。攻撃者がマルウェアでコンピュータを感染させる

Java 7 Update 7は、Oracleによると直接的に悪用されないが、他の脆弱性の影響を悪化させる可能性がある「深刻なセキュリティ問題」にパッチを当てた。

パッチGowdiakが「搾取ベクトル」と呼んでいる「セキュリティ深度の問題」のうち、ポーランドのセキュリティ会社が以前にOracleに提出したPoC Java Virtual Machine（JVM）セキュリティバイパスエクスプロイトをすべてレンダリングしましたSecurity ExplorationsはGowdiakによると、4月のJava 7の29個の脆弱性を個人的にOracleに報告しました。これには現在攻撃者が積極的に利用している2つの脆弱性が含まれています。

コンセプトJava 7 Update 7でsun.awt.SunToolkitクラスの実装からgetFieldメソッドとgetMethodメソッドを削除すると、すべてが無効になりました。

Javaのサンドボックスを完全にバイパスし、 Gowdiak氏によると、Security ExplorationsのPoCエクスプロイトについて、Gowdiak氏は述べている。しかし、これは、「exploitation vector」が削除されたためであり、攻撃対象のすべての脆弱性が修正されたためではない。

「Javaのサンドボックスバイパスコードが完全に更新された後に完全なJavaサンドボックスバイパスコードが機能しなくなったことが判明したら、我々はJavaのサンドボックスバイパスコードを完全に削除することができました。 POCコードをもう一度見て、最新のJavaアップデートを完全に破る方法について考え始めました」とGowdiak氏は言います。

Gowdiakは、4月にSecurity Explorationsによって報告された残りの脆弱性、またはセキュリティ会社によって提出された新しい脆弱性に対処する予定があるかどうかは分かりません

オラクルがこれまでに計画していたように、10月に新しいJavaセキュリティアップデートをリリースするかどうかは不明だ。

セキュリティ研究者は、ベンダーが報告された脆弱性に対処するのに時間がかかり過ぎると、その間に悪意のある人によって発見される可能性があると警告しています

異なるバグ・ハンターが同じ製品で同じ脆弱性を独立して発見することは複数回起こりました。これは、Java 7 Updateで対処された2つの積極的に悪用されたJavaの脆弱性

「独立した発見は決して排除することはできない」とGowdiakは述べた。しかし、この特定の問題[新しい脆弱性]は少し難しいかもしれません。 "

これまでJavaの脆弱性を探求してきたSecurity Explorationsの研究者の経験に基づいて、Java 6はJava 7よりもセキュリティが優れています.Gowdiak氏は、「Java 7は驚くほど簡単に壊れました。 「Java 6では、AppleのQuicktime for Javaソフトウェアで発見された問題を除き、完全なサンドボックスの妥協を達成することはできませんでした」Gowdiak氏は、多くのセキュリティ研究者が以前に言ったことを反響しています。 Java、あなたのシステムからそれをアンインストールします。