Oracle、Javaのアップデート公開：未知の脆弱性に備えて不要なJavaは引き続き無効化を

米Orcaleは1月13日、Java 7 Update 10以前で指摘されていた脆弱性を修正する「Java 7 Update 11」を公開した。

[高橋睦美，＠IT]

　米Oracleは1月13日、Java 7 Update 10以前で指摘されていた脆弱性を修正する「Java 7 Update 11」を公開した。同社Webサイトからダウンロードできる。

　脆弱性が存在するのはJava 7 Update 10以前で、Java SE JDKおよびJRE 6には影響しない。悪用されれば任意のコードを実行される可能性がある上に、この脆弱性を悪用する攻撃コードが出回っていることから、セキュリティ機関が注意を呼び掛けていた。

　このアップデートでは、脆弱性の修正とともに、Javaコントロールパネルにおけるセキュリティレベルの初期設定も変更。これまでの「中（M）」から「高（H）」に変更することで、署名が付いていないアプレットを実行しようとすると、警告が表示されるようになる（このため、既存アプリケーションの動作に影響が生じる可能性もある）。Oracleではユーザーに対し、早期のアップデートを呼び掛けている。

　なおImmunityの情報によると、攻撃コードは2つの脆弱性を組み合わせて利用するものであり、Oracleがリリースしたパッチはうち1つを修正するものであると指摘。出回っている攻撃を当面食い止める上でJava 7 Update 11の適用は有効だが、新たに未知の脆弱性が発見された場合はその限りではないという。

　今後も未知の脆弱性が発見される可能性もあることから、US-CERTでは、Java 7 Update 11にアップデートするとともに、必ずしもJavaを必要としない環境ではWebブラウザの設定を変更し、Javaを無効にしておくことを推奨している。

（1月16日追記：初出時、2つの脆弱性とJava 7 Update 11との関係について誤解を招く表現がありました。修正するとともに謹んでお詫び申し上げます）