Oracle Java SE JDKおよびJREにおける脆弱性の検証レポートを発表(NTTデータ先端技術) | ScanNetSecurity
2026.01.03(土)

Oracle Java SE JDKおよびJREにおける脆弱性の検証レポートを発表(NTTデータ先端技術)

NTTデータ先端技術は、「Oracle Java SE JDKおよびJRE」の脆弱性により、任意のコードが実行される脆弱性(CVE-2012-1723)に関する検証レポートを公開した。

脆弱性と脅威 セキュリティホール・脆弱性
15 views
facebookLINE
NTTデータ先端技術株式会社は7月17日、「Oracle Java SE JDKおよびJRE」の脆弱性により、任意のコードが実行される脆弱性(CVE-2012-1723)に関する検証レポートを公開した。本脆弱性はOracle Java JDK and JRE 7 Update 4以前などに存在するもので、JavaバイトコードをHotspot VMにて処理を行う際にコードの検証が不十分であるため、Javaのサンドボックスを回避されることにより発生する。本脆弱性により、リモートからJavaを実行するローカルユーザと同じ権限で任意のコードを実行される危険性がある。本脆弱性は、Oracle社より6月12日に脆弱性が修正されたバージョンがリリースされている。しかし、攻撃を成立させるためのコードが容易に入手可能であり、かつ脆弱性に対する攻撃が容易であること、また攻撃を受けた際にシステムへの影響が大きいことから、本脆弱性の再現性について検証を実施した。

検証は、Windows XP SP3上のJava SE JRE 6 Update 32を検証ターゲットシステムとして実施した。ターゲットシステム上で、悪意のあるユーザが作成したWebページを閲覧させることで、攻撃コードを実行させる。これにより、ターゲットシステムにおいて任意のコードを実行させる。ターゲットシステムは、悪意のあるユーザが用意したホストに制御が誘導される。今回の検証に用いたコードは、ターゲットシステム上から特定のサーバ、ポートへコネクションを確立させるよう誘導し、システムの制御を奪取するもの。これにより、リモートからターゲットシステムが操作可能となる。検証の結果、誘導先のコンピュータ(Debian)のコンソール上にターゲットシステム(Windows XP)のプロンプトが表示され、ターゲットシステムの制御の奪取に成功した。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 元国土交通省職員ら、「アイコラ」をサイトに掲載し逮捕

    元国土交通省職員ら、「アイコラ」をサイトに掲載し逮捕

  2. HENNGE One、iPad 受付システム「Smart at reception」へ SSO 連携

    HENNGE One、iPad 受付システム「Smart at reception」へ SSO 連携

  3. 保証人に送付した学費請求書の住所に誤り、個人情報が漏えい(横浜市立大学)

    保証人に送付した学費請求書の住所に誤り、個人情報が漏えい(横浜市立大学)

  4. クリックしていないのにアダルトサイトに登録させる「ゼロクリック詐欺」(シマンテック)

    クリックしていないのにアダルトサイトに登録させる「ゼロクリック詐欺」(シマンテック)

  5. 28.4 %「特に何もしていない」 退職や異動時の PC やストレージのデータ

    28.4 %「特に何もしていない」 退職や異動時の PC やストレージのデータ

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP