Java SE JDKおよびJREコード実行の脆弱性に関する検証レポートを発表(NTTデータ先端技術) | ScanNetSecurity
2026.01.03(土)

Java SE JDKおよびJREコード実行の脆弱性に関する検証レポートを発表(NTTデータ先端技術)

NTTデータ先端技術は、Oracle Java SE JDKおよびJREのDeploymentサブコンポーネントに任意のコードが実行される脆弱性に関する検証レポートを公開した。

脆弱性と脅威 セキュリティホール・脆弱性
21 views
facebookLINE
NTTデータ先端技術株式会社は2月28日、Oracle Java SE JDKおよびJREのDeploymentサブコンポーネントに任意のコードが実行される脆弱性(CVE-2012-0500)に関する検証レポートを公開した。これは、JNLPファイル内で実行パラメータを処理する際に発生する入力検証エラーに起因するもの。悪質なJNLPファイルを処理させることで攻撃可能な状態となる。この脆弱性が悪用されると、巧妙に細工されたJava AppletまたはJava Web Startアプリケーションを提供するWebサイトにユーザを誘導することで、ターゲットホスト上で任意のコードを実行される可能性がある。同社では今回、この脆弱性の再現性について検証した。

検証は、Windows XP SP3上のInternet Explorer 8を検証ターゲットシステムとして実施した。検証は、ターゲットシステムにWebページを閲覧させ、Java Web Startアプリケーションを開かせることで、攻撃コードを実行させる。それによって、ターゲットシステムにおいて任意のコードを実行させるというもの。ターゲットシステムは、悪意のあるユーザが用意したホストに制御が誘導される。今回の検証に用いたコードは、ターゲットシステム上から特定のサーバ、ポートへコネクションを確立させるよう誘導し、システムの制御を奪取するもの。その結果、誘導先のコンピュータ(Debian)のコンソール上にターゲットシステム(Windows XP)のプロンプトが表示されたことから、ターゲットシステムの制御の奪取に成功した。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. fjコンサル「キャッシュレスセキュリティレポート 2023年1Q」公表、カード情報流出件数 173,332件

    fjコンサル「キャッシュレスセキュリティレポート 2023年1Q」公表、カード情報流出件数 173,332件

  2. 元国土交通省職員ら、「アイコラ」をサイトに掲載し逮捕

    元国土交通省職員ら、「アイコラ」をサイトに掲載し逮捕

  3. HENNGE One、iPad 受付システム「Smart at reception」へ SSO 連携

    HENNGE One、iPad 受付システム「Smart at reception」へ SSO 連携

  4. 41歳コンビニ店長の転職

    41歳コンビニ店長の転職PR

  5. 海外からクラウドサーバへの RDP 接続で侵入 ~ ウエットマスターへのランサムウェア攻撃

    海外からクラウドサーバへの RDP 接続で侵入 ~ ウエットマスターへのランサムウェア攻撃

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP