脆弱性の研究者はJavaを愛しているに違いない。最近は特にJavaの2Dサブコンポーネントが、研究者たちの愛を感じていたように思われる。なぜなら2Dサブコンポーネントは、今年3月のCVE-2013-0809およびCVE-2013-1493に対する定例外のパッチ以降、合計で18個の修正済みの脆弱性があることになり、パッチ数が最多のサブコンポーネントとなったのだ。幸運にも、世間で唯一不正利用されたのはCVE-2013-1493のみとなっている。

 8月12日月曜日、さらにもう1つのJavaエクスプロイトへのリンクが共有された。

Tweet

 ツイートの内容と異なるが、このエクスプロイトは0デイではない。2Dサブコンポーネントのさらにもう1つの脆弱性CVE-2013-2465を悪用する。この問題はJava 7のupdate 21までのバージョンに影響があるが、最新バージョンのJava 7 update 25にはパッチが当てられている。当社ではこのエクスプロイトの検知(Exploit:Java/CVE-2013-2465.A)をリリース済みだが、ここまで現実世界では検出されていない。

 CVE-2013-2465は(まだ)現実に悪用されてはいないが、Java 7 update 21に影響を与える別のJavaの脆弱性CVE-2013-2460が存在する。このエクスプロイトは7月にエクスプロイトキットPrivateにて導入され、それ以来Sweet Orangeエクスプロイトキットでも目撃されている。さらに、カスペルスキー社は、この脆弱性が水飲み場型攻撃で悪用されることを指摘している(ポストの中で言及しているJARファイルはCVE-2012-4681ではなくCVE-2013-2460を悪用する)。

 まとめると、Java 7 update 25とJava 7 update 21のどちらを実行しているかで違いがある。Javaをアンインストールすることや、少なくともブラウザのプラグインを無効にすることが選択肢に無いのなら、最新版のJavaがインストールされていることを確認するとよい。

Grumpy cat

Post by — @Timo

追記さらに与え続けている。