NEWS(10/04/13 19:58)

Javaに未修正の脆弱性、Webページを閲覧するだけで攻撃を受けるおそれ

IE6/7/8や「Firefox」「Google Chrome」などWebブラウザー全般が対象

 統合セキュリティ対策ソフト“G Data”シリーズを販売するG Data Software(株)は13日、Javaの実行環境に存在する未修正の深刻な脆弱性に関する報告を発表した。同脆弱性はデンマークのセキュリティベンダーSecuniaでも報告されており、深刻度は5段階中2番目に高い“Highly critical”と位置付けられている。

 脆弱性の詳細は、Javaを実行できる環境で悪質な細工の施されたWebページを表示するだけで、意図しないプログラムをダウンロードおよび実行されるおそれがあるというもの。

 G Data Softwareによると同脆弱性は「Java Deployment Toolkit」に起因するもので、「Java Runtime Environment (JRE)」がインストールされているWindows環境のIE6/7/8や「Firefox」「Google Chrome」などWebブラウザー全般が同脆弱性の影響を受けるとのこと。

 本脆弱性は、Webブラウザーのセキュリティ設定でJavaScriptを無効化しても防御できないので注意。対策としては、たとえば「Firefox」の場合はアドオン画面の[プラグイン]タブで“Java Deployment Toolkit”を無効化する必要がある。

 また、IEではWindows標準の「レジストリ エディタ」などのレジストリ編集ソフトを使用し、ActiveXのクラスID“CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA”へ“kill bit”を設定する必要がある。設定は以下のように行う。

  1. “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility”を開く
  2. 新規キーを作成して名前を“{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}”へ変更する(すでにある場合はそのキーを開く)
  3. 作成したキー内に“DWORD (32 ビット) 値”を新規作成して名前を“Compatibility Flags”へ変更する
  4. 値のデータを16進数で“00000400”へ変更する

新規キーを作成して名前を“{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}”へ変更 新規キーを作成して名前を“{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}”へ変更

“Compatibility Flags”の値のデータを16進数で“00000400”へ変更 “Compatibility Flags”の値のデータを16進数で“00000400”へ変更

 なお、レジストリを編集すると最悪の場合OSが起動しなくなるなどの危険がある。必ず、編集する前にバックアップを作成するようにしてほしい。

(長谷川 正太郎)

お詫びと訂正:記事初出時、レジストリの“Compatibility Flags”へ入力する16進数の値のデータが間違っておりました。お詫びして訂正いたします。