commons-collectionsのInvokerTransformer脆弱性について - R42日記
2015-11-12 追記あり。「SpringとGroovyにも直列化オブジェクト脆弱性」も参照してください。 昨日からJava界隈で話題になっているcommons-collectionsの脆弱性について。 元ネタはこちら。 対応するチケットはこちら。 InvokerTransformerなんてクラスは初めて知りましたが、そりゃこういうことになりますよねぇ…というのが感想です。 影響を受けるシステム InvokerTransformerはcommons-collectionsとcommons-collections4の両方に存在しています。 いずれかのライブラリ(commons-collections.jarまたはcommons-collections4.jar)がクラスパスに存在しているとき、 以下のいずれかの条件を満たしていると攻撃が成立する可能性があります。 直列化したオブジェクトを
JRE 1.7に存在するゼロデイ脆弱性を狙った攻撃、バックドア型不正プログラムをもたらす | トレンドマイクロ セキュリティブログ
トレンドラボの解析から、「BKDR_POISON.BLW」は、コンピュータに他の不正プログラムをダウンロードし、実行することが判明しています。つまり、「BKDR_POISON.BLW」に感染したコンピュータは、さらなる感染の被害に遭うこととなります。また、このバックドア型不正プログラムは、感染コンピュータから、スクリーンショットやWebカメラの画像を取得したり、また音声を録音したりする機能も備えています。問題のゼロデイ脆弱性を狙うエクスプロイトは、Mac OS X上でも実行されるという報告もされていることから、Macユーザも今回の攻撃に対して注意を払う必要があります。 問題のゼロデイ脆弱性が、標的型攻撃に利用される可能性を指摘する見方を伝える報告もあるようですが、トレンドラボの解析結果では、この見解の裏付けが確認されていません。この脆弱性を利用するコードが組み込まれているWebサイトは、さ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
