目次:
先週Javaプログラミング言語で発見された重大なセキュリティ欠陥のパッチを公開した後、このソフトウェアの未承認の別の欠陥が、まだアプリケーションを実行している数百万のPCのセキュリティを脅かしているため、
オラクルはJavaの脆弱性に関する日曜日の修正版をリリースし、米国土安全保障省が「絶対に必要」でない限り、コンピュータのユーザーにソフトウェアの無効化を推奨した。
[詳しい情報:あなたからマルウェアを削除する方法Windows PC]
このアドバイスは、月曜日に、コンピュータの緊急対応チーム(US-CERT)がパッチをユーザーに公開した後も繰り返された。販売の脆弱性
最新のバージョンのJava(バージョン7、アップデート11)の新しくゼロデイの脆弱性が、5000ドルで2人のバイヤーに広がっていると報告している
。脆弱性の兵器コード版とソースコード版の両方がブライアンクレブス氏によると、売り手が提供している。クレブス氏はこの提案を発見して以来、犯罪フォーラムから削除され、売り手がバイヤーを"
"私の考えでは、プログラムを分離するための慎重な措置を取らずにJavaをエンドユーザのPCにインストールすることの安全性と安全性について人々が抱く可能性のある幻想を払拭しなければならない " >この最新のJavaの悪用は、ウイルス対策ソフトウェアメーカーBitdefenderの上級電子脅威アナリスト、Bogdan Botezatu氏によると、誰もそのことを知ることができないため、最後のものよりも悪くなっている。
悪用コードが特定されたbいくつかの一般的なマルウェアキットのセキュリティ研究者がいます。ボテザトゥ氏は電子メールで、「現時点での利用方法は未知のままであり、攻撃者の機会を増やすだろう」と述べている。
> Botezatu氏は今週、ブログで、日曜日にオラクルがパッチを適用したにもかかわらず、サイバー犯罪者が未パッチのマシンの脆弱性を引き続き悪用して、ランサムウェアをインストールしていることに気づいたと話している。
Oracleのセキュリティ対策
日曜日のパッチでゼロデイの脆弱性を発見したOracleは、デフォルトでJavaのセキュリティ設定を「高」に向上させました。 AlienVault LabsのマネージャーであるJaimie Blasco氏は電子メールで、「これは有効な証明書で署名されていないJavaアプレットの実行を今すぐ許可する必要があることを意味します。
"以前は、攻撃者が悪意のあるコードに署名するための有効な証明書を盗み出すことができたため、この技術が使用されていると私は驚いています」Javaは脆弱性を抱えているように見えるため、BitdefenderのBotezatuは、Oracleがソフトウェアのコアコンポーネントを特定し、最初から書き直すことを推奨しています。
オラクルが9月に予定されているJavaの次期バージョンをリリースするときに、ソフトウェアの少し書き直しが行われます。