早期のアップデートが困難な場合は引き続きJavaプラグインの無効化を

Oracle、Javaの脆弱性を修正する緊急アップデートを公開

2012/08/31

 米Oracleは8月30日、ゼロデイ攻撃が報告されているJava 7の脆弱性(CVE-2012-4681)を修正する緊急アップデート、「Java 7 Update 7」を公開した。同社は、可能な限り早期にこのアップデートを適用するよう推奨している。

 この脆弱性はJava 7 Update 6以前に存在する。Javaが動作する環境であれば、WindowsだけでなくMac OS XやLinuxにも影響が及ぶ。

 もし悪用されれば、悪意あるWebサイトにアクセスしただけで任意のコードが実行され、マルウェアを埋め込まれたりする恐れがある。NTTデータ先端技術によれば、細工を施したWebページに誘導することで、ターゲットシステム(Windows XP SP3+Java SE JRE 7 Update 6)の制御を奪取できることが検証できた。このケースではInternet Explorer 7だけでなく、Firefox 14やGoogle Chrome 21といったブラウザを介しても、攻撃が成立したという。

 脆弱性について指摘したセキュリティベンダ、FireEyeによれば、現にこの脆弱性を悪用したゼロデイ攻撃が報告されているという。

 解決策は、Oracleのアップデートを適用することだ。このアップデートは、ゼロデイ攻撃に利用されたものも含め、4件の脆弱性を修正する。うち3件はJava 7 Update 6以前の脆弱性を、残る1件はJava 7 Update 6以前/Java 6 Update 34以前の脆弱性を修正する。このため、Java 6の環境でも早急なアップデートが望ましい。

 もし、既存アプリケーションとの整合性の問題などでアップデートが困難な場合は、手元のWebブラウザの設定を変更し、Javaプラグインを無効化することが推奨される。

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事

注目のテーマ

Security & Trust 記事ランキング

本日 月間