米国 Oracle は3月4日、今年5回目となる Java のアップデートをリリースした。Java 7 Update 17 では、2件の脆弱性を修正。このうち1件は、すでに攻撃に悪用されていることが確認されているものだ。2件の脆弱性は、ともに利用者の認証なしにリモートから任意のコードを実行されてしまう恐れがあり、バグの深刻性を評価する CVSS で最悪の「10」とされている。

今回修正されたバグ「CV3-2013-1493」は、2月1日に Oracle に報告済みだったもの。Oracle のソフトウェア品質保証部門ディレクターである Eric Maurice 氏は、Blog に次の投稿をしている。

「Oracle は、CVE-2013-1493 に対する修正を2013年4月16日の定例アップデートで修正する予定だった。だが、CVE-2013-1493 がすでに悪用されているという報告を受け、すべての Java SE ユーザーのセキュリティが保たれるよう支援するために、Oracle はこの脆弱性と、それに関連するもう1つのバグに対するパッチを前倒ししてリリースすることにした」

CVE-2013-1493 は、セキュリティベンダー FireEye が Oracle に報告したもの。この脆弱性を突けば、アタッカーは利用者のデバイスにトロイの木馬型マルウェア「McRat」をインストール可能になる。

Oracle は今回のパッチで2つの脆弱性に対応した。だが、Java にはまだ報告されていながら、未修正の脆弱性が存在している。セキュリティ研究者の Adam Gowdiak 氏は「Full-Disclosure」のメーリングリストで、同氏が Oracle に報告したバグのいくつかがまだ未解決であることを明かしている。

Oracle は2013年、Java に対するパッチリリースを積極的に実施している。2月だけで、Oracle は少なくとも55件の脆弱性に対応したパッチをリリースした。2月1日の緊急アップデートでは50件、2月19日の定期アップデートリリースでは5件の脆弱性を修正している。Maurice 氏はこの件につき次のように述べた。

「Oracle は Java SE の、特にブラウザ内で動作する Java のセキュリティを向上させるため、パッチリリースを加速することを約束している。今回のパッチリリースや、先月実施した緊急パッチアップデート、それに次回の定期アップデートの日程の公開は、Oracle がこの約束を果たしていることを証明するものだ」

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。