[メモ] CVE-2012-0507 Java脆弱性 ドライブバイダウンロード攻撃


 2012年2月リリースのJava 6 Update 31にて修正された脆弱性CVE-2012-0507。3月になってエクスプロイトキットの1つ「Blackhole Exploit Kit」が実装(sp30.jar)。
・ www.oracle.com/technetwork/topics/security/javacpufeb2012verbose-366319.html
・ www.debian.org/security/2012/dsa-2420.ja.html
・ unaaldia.hispasec.com/2012/03/el-malware-de-la-policia-aprovecha-un.html
・ weblog.ikvm.net/PermaLink.aspx?guid=cd48169a-9405-4f63-9087-798c4a1866d3
・ blogs.technet.com/b/mmpc/archive/2012/03/20/an-interesting-case-of-jre-sandbox-breach-cve-2012-0507.aspx



AtomicReferenceArray クラス実装で、配列が Object[] タイプであ るかどうかのチェックが適切に行われていません。悪意を持ったJava アプリケーションまたはアプレットからこの欠陥が悪用可能で、Java 仮想マシンのクラッシュや、Java サンドボックスの制限の迂回などがおこなえます。


 Javaを最新版にしておかないと、ハッキングされてる一般サイト(日本国内ほか世界中にアリ)を単に見ただけで強制的に問答無用でウイルス感染となる恐れ。偽セキュリティソフトや偽パソコン診断ツールの強制インストール被害が現に日本でも相変わらず・・・。 イメージ 1<対策しろヨ






[追記...]
 マイクロソフトの情報追加。
2012年2月リリースのJava/JREじゃないとウイルス強制感染地獄