米国 Oracle は2月1日午後、Java の緊急アップデートを実施。少なくとも50件の脆弱性に対応した。

Oracle、Java のアップデートを前倒しで公開―50件の脆弱性を修正
Java SE の2013年2月の重要なパッチアップデートは、本来であれば2月19日に実施される予定だった。だが、同アップデートで修正予定となっている脆弱性のうち、少なくとも1つを狙った攻撃がすでに行われているとして、Oracle はパッチアップデートの前倒しを決定した。

50件の修正のうち、40件は Web ブラウザ上での Java 利用に関連するもので、これらは以前から Java に対する攻撃の主たるターゲットとなっていた。Oracle のグローバルテクノロジービジネスユニットマネージャである Eric Maurice 氏は Blog に次の投稿をしている。

「デスクトップブラウザにおける Java Runtime Environment(JRE)の人気の高さと、Java がブラウザ内で OS に依存しないで動作するという性質を持っていることが、Java を悪意のあるハッカーにとっての魅力的なターゲットにしてしまっている」

Maurice 氏は、Oracle が脆弱性に対して迅速に対応していることを強調している。

Java 脆弱性

Oracle の2月の重要なパッチアップデートの内容を見れば、50件のうち49件までは、リモートから認証なしに侵入可能とされる欠陥に対応したものであることがわかる。また、Oracle のリスク評価表によれば、欠陥のうち35件は脆弱性の深刻度評価である CVSS のスコアで、最も「危険」とされる「10」と判定されているものだった。

Maurice 氏は、Oracle が Java セキュリティレベルの設定を変更したことにも触れている。2012年12月にリリースされた「Java 7 Update 10」以降、利用者は新しいセキュリティパネルでセキュリティレベルの設定が可能となった。

「この結果、セキュリティに対する知識のない利用者が悪意のある Web サイトを訪れた場合でも、アプレットが動作する前に利用者への通知が行われ、悪意のあるアプレットの実行を未然に防ぐことが可能となった。また、Oracle は利用者が Java コントロールパネルを利用して、Web ブラウザ上での Java の実行を停止可能にする機能も導入した」

Oracle はすでに次の重要な Java セキュリティアップデートの日程を公開している。次回は、6月18日。その後は10月15日。そして2014年の1月14日にもアップデートが予定されている。

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。