米国 Oracle の2月は、大規模なパッチアップデートでスタートした。それには Java の脆弱性に対する50件を超える修正が含まれていたが、それがすべてではなかったようだ。

Oracle が新たな Java アップデートをリリース―「Lucky Thirteen」を含む5件の深刻な脆弱性に対応
Oracle は2月19日、Java に対する新たなパッチアップデートをリリースした。5件の修正が含まれている。5つのうち3つは、バグの深刻性を評価する CVSS で最悪の10とされているもの。そして5つすべてが、ユーザーの認証無しでリモートからの攻撃が可能とされる脆弱性だ。

Oracle グローバルテクノロジービジネスユニットのマネージャ Eric Maurice 氏は、声明の中で次のように述べている。

「Oracle は2月19日にリリースする予定だった重要なパッチアップデートのリリースを2月1日に前倒しした。今回のアップデートの目的は、その際に含めることのできなかった重要な修正を顧客に提供することだ」

Oracle が今月初旬に提供した50件のパッチアップデートのうち、80%はクライアント側の問題に対応したものだった。

Lucky Thirteen への対応

修正のうち1件は、新たに報告されたサーバーセキュリティリスクに対応したものだ。

「今回提供するパッチアップデートには、サーバー側の Java Secure Socket Extension(JSSE)に適用されるものが含まれる。これは『Lucky Thirteen』と呼ばれる、新たに発見された SSL/TLS の脆弱性に対応するものだ」

Lucky Thirteen とは、SSL 暗号化に対するタイミング攻撃の手法。暗号化されたデータを解読可能にするとされるものだ。

Facebook の Java 脆弱性への対応

先週、Facebook は社内システムに対する標的型攻撃を受けたことを明らかにし、原因が Oracle Java の脆弱性にあったと報告した。Facebook は次のように述べている。

「攻撃コードをホスティングしていた Web サイトを調べた結果、アタッカーは『ゼロデイ(過去には見られなかった)脆弱性』を悪用し、Java のサンドボックスを迂回してマルウェアをインストールしていたことがわかった。Facebook はこの件をただちに Oracle に報告した。Oracle は2月1日にリリースしたパッチでこの脆弱性に対応している」

SophosLabs のマネージャ Richard Wang 氏は InternetNews.com に対し、Facebook がこの件を公開したことは賞賛されるべきだと述べた。情報が共有されたことで、他の Web サイトが同じ危険に曝されるリスクを回避できたからだ。Wang 氏は次のように述べた。

「ブラウザ内の Java は、セキュリティ上の大きな懸念となっている。Oracle は最善を尽くしているが、攻撃的ハッカーは Java で悪用可能な脆弱性を発見し続けている」

ACORE Security の上級製品マネージャである Alex Horan 氏は、この一件は企業によるブラウザ内での Java 使用に影響を与えうると述べた。とはいうものの、Java は企業の Web アプリには欠かせないものになっている。

「クリティカルな仕事に Web アプリが必要で、そのアプリに Java が要求されるのであれば、企業は Java をブラウザから排除することはできないだろう」

Horan 氏と Wang 氏はともに、利用者が Java を自分たちのデバイスから削除する必要はないと述べる。だが Wang 氏は、企業ユーザーはリスクを最小限に抑えるため、Java を使用した Web アプリの使用時には、通常使用するブラウザとは違うものを使用すべきだという。

「そしてもちろん、使用する Java は、それがデスクトップであってもブラウザ内であっても、最新のパッチが適用されたものでなければならない。攻撃的ハッカーは、標的とする脆弱性に対してパッチが提供されても諦めることはないのだ。彼らは、多くの利用者がパッチを適用しないまま Java の利用を続けていることを知っている」

Java のアップデートは Java のコントロールパネル、または Java の Web サイトから実施できる。

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。