Oracle、Javaのアップデート公開:未知の脆弱性に備えて不要なJavaは引き続き無効化を
米Orcaleは1月13日、Java 7 Update 10以前で指摘されていた脆弱性を修正する「Java 7 Update 11」を公開した。
米Oracleは1月13日、Java 7 Update 10以前で指摘されていた脆弱性を修正する「Java 7 Update 11」を公開した。同社Webサイトからダウンロードできる。
脆弱性が存在するのはJava 7 Update 10以前で、Java SE JDKおよびJRE 6には影響しない。悪用されれば任意のコードを実行される可能性がある上に、この脆弱性を悪用する攻撃コードが出回っていることから、セキュリティ機関が注意を呼び掛けていた。
このアップデートでは、脆弱性の修正とともに、Javaコントロールパネルにおけるセキュリティレベルの初期設定も変更。これまでの「中(M)」から「高(H)」に変更することで、署名が付いていないアプレットを実行しようとすると、警告が表示されるようになる(このため、既存アプリケーションの動作に影響が生じる可能性もある)。Oracleではユーザーに対し、早期のアップデートを呼び掛けている。
なおImmunityの情報によると、攻撃コードは2つの脆弱性を組み合わせて利用するものであり、Oracleがリリースしたパッチはうち1つを修正するものであると指摘。出回っている攻撃を当面食い止める上でJava 7 Update 11の適用は有効だが、新たに未知の脆弱性が発見された場合はその限りではないという。
今後も未知の脆弱性が発見される可能性もあることから、US-CERTでは、Java 7 Update 11にアップデートするとともに、必ずしもJavaを必要としない環境ではWebブラウザの設定を変更し、Javaを無効にしておくことを推奨している。
(1月16日追記:初出時、2つの脆弱性とJava 7 Update 11との関係について誤解を招く表現がありました。修正するとともに謹んでお詫び申し上げます)
Copyright © ITmedia, Inc. All Rights Reserved.