Javaに新たなゼロデイ脆弱性が発見された。「Java 7 Update 10」以前のすべてのバージョンが影響を受ける。さらに、脆弱性を悪用するツールキットにもすでに組み込まれている、とセキュリティ専門家は述べる。

　「Blackhole」、「Cool」、「Nuclear Pack」などの一部ツールキットでは、すでに同脆弱性を突いた攻撃が実装されている。最新版であるJava 7 Update 10を含め、すべてのバージョンのJavaプラグインが影響を受ける。


　米国セキュリティ・ベンダーのRapid7で最高セキュリティ責任者（CSO）を務めるHD Moore氏によると、この脆弱性を悪用した攻撃がすでに一部のWebサイトで発見されているという。こうしたWebサイトにアクセスすると、訪問者のPCにはマルウェアが仕掛けられるおそれがある。ブラウザでJavaが有効化されたWindows、Mac OS X、Linuxのコンピュータが影響を受ける。

　同脆弱性は1月10日、“Kafeine”のハンドル名で知られるフランスの研究者によって発見された。

　セキュリティ・ベンダーの米国AlienVaultでは、全パッチを適用したJavaでも同脆弱性を突いた攻撃を再現することができたと述べる。「おそらく、この攻撃は特定のセキュリティ・チェックを迂回し、特性のJavaクラスの権限を欺いている」と研究者のジェーム・ブラスコ（Jaime Blasco）氏はAlienVault Labsブログで説明した。

　「現状、この攻撃からコンピュータを保護する唯一の方法は、ブラウザのJavaプラグインを無効化することだ。Oracleのパッチ・リリースを待つほかない」（同氏）
（Antone Gonsalves／CSO米国版）