Java SE JDKおよびJREの脆弱性(CVE-2011-3544)に関する検証レポート(NTTデータ先端技術) | ScanNetSecurity
2026.07.03(金)

Java SE JDKおよびJREの脆弱性(CVE-2011-3544)に関する検証レポート(NTTデータ先端技術)

NTTデータ先端技術株式会社は12月2日、Oracle Java SE JDKおよびJREのRhinoスクリプトエンジンの脆弱性(CVE-2011-3544)に関する検証レポートを公開した。

脆弱性と脅威 セキュリティホール・脆弱性
NTTデータ先端技術株式会社は12月2日、Oracle Java SE JDKおよびJREのRhinoスクリプトエンジンの脆弱性(CVE-2011-3544)に関する検証レポートを公開した。

これは、Oracle Java SE のJDKおよびJREに発見された、Rhinoスクリプトエンジンによる、任意のコードが実行可能な脆弱性(CVE-2011-3544)。この脆弱性により、細工されたWebページの閲覧などで、使用したWebブラウザの実行ユーザ権限と同じ権限が奪取される危険性がある。想定される被害としては、奪取されたユーザ権限による情報取得、改ざん、または、ワームやスパイウェアなどの悪意あるプログラムをシステム内にインストールされることが考えられる。同社では今回、この脆弱性の再現性について検証した。

検証は、Windows XP SP3 IE7 JRE 6 Update 23を検証ターゲットシステムとして実施した。検証は、ターゲットシステムに細工したWebコンテンツをロードさせることで任意のコードを実行させるというもの。今回の検証に用いたコードは、ターゲットシステム上から特定のサーバ、ポートへコネクションを確立させるよう誘導し、システムの制御を奪取するもの。これにより、リモートからターゲットシステムの操作が可能となる。検証の結果、誘導先のコンピュータ(Debian)のコンソール上にターゲットシステム(Windows XP)のプロンプトが表示され、ターゲットシステム制御の奪取が可能になることが検証された。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

PageTop

アクセスランキング

  1. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  2. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  3. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  4. 2りんかんイエローハットに不正アクセス、310万名分の個人情報が漏えい

    2りんかんイエローハットに不正アクセス、310万名分の個人情報が漏えい

  5. 現代仏壇に不正アクセス、親会社である株式会社はせがわが保有する個人情報には影響無し

    現代仏壇に不正アクセス、親会社である株式会社はせがわが保有する個人情報には影響無し

ランキングをもっと見る
PageTop