Symantec Security Response は1月10日付の Blog で、Java のゼロデイ脆弱性を狙った攻撃が Cool 悪用ツールキットで拡散、活動中であることを報告しているが、15日には新たな Blog を掲載、Cool 悪用ツールキットのほかに、Blackhole、Redkit、Impact などのメジャーな悪用ツールキットも、今回の脆弱性を悪用している、と報告している。

シマンテックは現在、これらの悪用ツールキットで拡散されている JAR ファイルを Trojan.Maljava として検出するが、さらに Trojan.Maljava!gen26 の検出定義も追加した。

米国国土安全保障省は、脆弱性を修正するパッチが公開されるまで、ブラウザで Java を無効にするよう勧告を出した。

1月13日には、Oracle がパッチを公開したが、トレンドマイクロは、この緊急修正プログラムが不完全であることを指摘している。トレンドマイクロによると、この脆弱性には 2つの問題点が存在するそうだ。

ひとつは、com.sun.jmx.mbeanserver.MBeanInstantiator クラスの findClass メソッドに、もうひとつは、java.lang.invoke.MethodHandle クラスの invokeWithArguments メソッドに存在する。Oracle が13日に公開した緊急修正プログラムは、後者を修正するもので、findClass メソッドの脆弱性は、制限付きクラスの参照を取得するために依然として利用される可能性がある、という。つまり、findClass メソッドには、他の新たな脆弱性に利用される恐れがある不具合が残されたままだ。

findClass メソッドの問題は単体で悪用することはできないが、Java には依然として大きなリスクがあることには違いない。

Oracle はこの脆弱性に関する詳しい Blog を公開している。

Java ゼロデイ脆弱性の最新修正プログラムに問題発覚
今回の脅威の IPS 検出に基づいた過去1週間の分布図(出典:シマンテック)