φ(..)メモメモ

ポーランドのセキュリティ企業Security Explorationsは5月6日、米IBMのSDK「Java Technology Edition」の最新バージョンに7件のセキュリティ問題が見つかったとして、セキュリティメーリングリストのFull Disclosureに概略を投稿した。
Security Explorationsによると、今回見つかった問題はいずれも、Java Reflection APIのインセキュアな利用あるいは実装に起因するという。
さらに同社は、2012年9月にIBMに報告した4件の問題もまだ適切に修正されていないと主張。悪用コードに少し手を加えれば、IBM Java環境を制御できてしまう状態にあると説明している。
これらの問題を突いてIBM J9 Java仮想マシン（VM）のサンドボックス迂回が可能なことを実証するコンセプト実証コードも開発し、IBMに提供済みだという。

IBMのSDKにJava関連のセキュリティ問題、研究者が報告 - ITmedia エンタープライズ