トレンドマイクロが標的型サイバー攻撃キャンペーンのPawn Storm 作戦の調査を行っていたところ、Javaの脆弱性をホストした不正なURLを確認し、ここで使用されている脆弱性がOracle社がまだ修正を行っていないゼロデイ脆弱性であることを確認した。
同社によると、この脆弱性の影響を受けるのはJavaの最新バージョンの1.8.0.45で、古いバージョンのJava1.6と1.7はこの影響を受けない。同社はOracle社に報告して現在調査を行っている。
NATOに加盟する国の軍事組織や防衛期間などを狙ったメールにJavaのエクスプロイトコードをホストする不正なURLが含まれていた。4月にNATOやホワイトハウスを狙ったPawn Storm作戦で利用されたURLと似ており、これらを標的としている可能性がある。
これらの脆弱性が悪用されると、Javaの初期設定状態で任意のコードを実行され、PCが乗っ取られる恐れがある。この脆弱性の修正版が公開されるまでは、ブラウザにJavaがインストールされている場合は無効にすることを推奨している。
