アップデートにも存在したZero-Dayらしい

2012年8月末、Oracle Java 7の “Java Runtime Environment （JRE）7 Update 6 ビルド1.7x” に存在する未修正の脆弱性「CVE-2012-4681（JVNTA12-240A）」が、特定のサイトに組み込まれた不正なJARファイルにより利用されたことが確認されました。問題の不正なJARファイルによってこの脆弱性が利用されると、最終的にバックドア型不正プログラムのダウンロードに誘導されることとなります。これにより、実質上、不正リモートユーザが目的とするコマンドをこの脆弱性の被害を受けたコンピュータ上で実行することが可能になります。 このゼロデイのエクスプロイトコードは、Internet Explorer（IE）や Firefox、Opera のすべてのバージョン上で実行されます。また、Metasploitの検証によると、Google Chrome および Safari 上でも実行されると報告されています。

JRE 1.7に存在するゼロデイ脆弱性を狙った攻撃、バックドア型不正プログラムをもたらす | トレンドマイクロ セキュリティブログ

関連URL

• US-CERT Alert TA12-240A - Oracle Java 7 Security Manager Bypass Vulnerability
• US-CERT Current Activity
• Oracle、Javaの深刻な脆弱性を公表―攻撃者はリモートであらゆる操作が可能〔今朝パッチ緊急リリース〕
• オラクル、ゼロデイ攻撃に対抗する「Java 7」緊急パッチをリリース|セキュリティ・マネジメント|トピックス|Computerworld
• 先週公開の「Java 7」パッチは不完全、脆弱性が残る――研究者が指摘|システム脆弱性|トピックス|Computerworld