Netcraft - Internet Research, Anti-Phishing and PCI Security Services

NetcraftがJava Web Startにある脆弱性によってきわめて多くのWindowsユーザが危険にさらされる可能性があると警告している。これはjavawsコマンドを経由してJava仮想マシンに任意のオプションを渡すことができるというもので、この脆弱性を利用されると悪意あるJarファイルを対象のPCで実行される可能性があると説明されている。

説明によれば、この脆弱性の影響を受けるのはWindows向けに提供されているJava SE 6 Update 10以降のすべてのバージョン。この脆弱性を利用するコードはすでに広く公開されているため、次の回避策のうちどちらかを実施することが好ましいとされている。

脆弱性の回避方法
IEユーザはCAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBAのKill Bitを設定することで一時的にこの問題を回避することが可能。
FirefoxやほかのブラウザのようにNPAPIを採用している場合には、npdeploytk.dllにアクセスできないようにファイルシステムのACLを設定することで一時的にこの問題を回避することが可能。

Netcraftの調査によればJava Web Startを採用しているサイトはかなり稀な存在であるため、JNLPサポートを完全に無効にしてもそれほど影響はでないだろうと説明がある。2010年4月の段階でJNLPを使っているのは、アクティブサイトのうち0.002%のみだという。