直近のJavaの更新をしてもまだ脆弱性が残存しているという指摘がある

Javaを使うなと言われても知らずに使っていたり使わざるを得なかったりすることもあり、しかもそれが商売だったりすると簡単に足を洗うわけにもいかず使い続けるためにはOracleリリースのパッチを当てながら綱渡りの開発・運用をしなければならない。しかしそんな頼みの綱たるパッチを当てたとしても、まだ脆弱性が潜んでいる、しかもまだ知られていないゼロデイの危険性のある状態であるとしたら、もはやどうにもならないじゃないか……。

■Java still vulnerable despite recent patches – The Register
http://www.theregister.co.uk/2013/04/23/java_reflection_api_an_insecure_mess/

■ [SE-2012-01] Yet another Reflection API flaw affecting Oracle’s Java SE – Full Disclosure mailing list archives
http://seclists.org/fulldisclosure/2013/Apr/194

Javaについては以前から多数の脆弱性が潜んでいて、セキュリティパッチがリリースされたとしても他の潜在的な脆弱性が複数存在するということは言われていた。
今回実際に研究者から指摘されたことで、改めてそのことが浮き彫りになったと言えるのではないだろうか。
とはいっても、一般の利用者の多くはパッチ待ちにならざるを得ない。今回の研究者もすでに脆弱性の実証コードをOracleに送っているとのことなので、また新たなパッチのリリースが待たれるのみである。

その他、過去のJava関連の当ブログ記事は、こちらご覧頂きたい。



コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください