Java の利用者であれば、教訓を得ているはずだ。「そろそろ Java をアップデートし、セキュリティ脆弱性に対応する時期だ」と。

Oracle、Java セキュリティアップデートを公開 ― Java のセキュリティは向上したと言えるのか?
米国 Oracle は6月18日、「Critical Patch Updates(CPU)」をリリースした。脆弱性を修正した Java の最新版は「Java SE 7 Update 25」となる。今回の CPU では、合計40件の脆弱性に対応している。

40件のうち10件は、HP の Zero Day Initiative(ZDI)から報告されたものだ。ZDI のマネージャである Brian Gorenc 氏は、InternetNews.com に対し次のように語った。

「10件の脆弱性には、サンドボックスの回避、ヒープベースのバッファオーバーフロー、アウトオブバウンズメモリへの書き込みなど、広範囲に渡るソフトウェアの弱点が含まれている」

Java SE 7 update 25 で修正された ZDI 脆弱性について Gorenc 氏は、ほとんどの脆弱性は、4月初旬に報告されたものだと説明する。

「Oracle は、深刻な脆弱性に対して素早く対応している。我々は、この傾向が続くことを期待している」

リモートから悪用可能な脆弱性は37件

Gorenc 氏は Oracle の対応に楽観的だが、今回報告された脆弱性を見ると、あまり楽観視はできない。

今回の CPU では、Oracle は合計40件の脆弱性に対処しているが、そのうち37件はリモートから認証を得ないで悪用可能なものだ。Rapid7 の Ross Barrett 氏は、次のように説明する。

「多くはブラウザプラグインを通じて悪用可能なものだ。そのうち11件は、OS を完全にコントロールできる」

The Java SE 7 Update 25 は、2013年に入ってから続く、Oracle による一連の大量バグ修正の最新版と捉えることができる。今年1月、Oracle は、Java には多くの問題があり、修正しなければならないと認めた。

それ以降、Oracle は Java に対して大量のパッチリリースを続けている。4月のパッチでは41件、3月の緊急パッチでは17件の脆弱性に対応した。2月のパッチでは、実に55件もの脆弱性に対応している。Oracle の2013年は、Java 7 update 11 のリリースでスタートしており、このパッチでも多くのゼロデイ脆弱性が修正されている。

 Java のセキュリティは向上したと言えるのか?

Oralcle は今年、Java のセキュリティを高める複数の取り組みを実施した。現在、Java ではセキュリティオプションが設定可能になっており、Java アプレットには X.509 標準に準拠した証明書が要求されるようになっている。また、Oracle は独自のブラックリストを作成し、アプリケーションと証明書を保守している。

こういった Oracle の取り組みにも関わらず、少なからぬ人々が、Java は安全ではないと考えている。WhiteHat Security の創設者であり CTO である Jeremiah Grossman 氏は、InternetNews.com に対し次のように説明した。

「Java は、脆弱性の塊であり、誰かがパッチをあてて修正するか、悪用されるかを待っている状態だ。パッチがリリースされたときに、注目しなければならないのは、いくつの脆弱性が修正されたかだけではない。利用者がどれだけ早くパッチを適用するかにも注意を払う必要がある。パッチがリリースされた時点で、アタッカーは、パッチを適用していない Java の脆弱性をすべて知っているからだ」

Grossman 氏は続ける。

「Java のエコシステムは対応が遅いことで知られている。必要でなければ Java をアンインストールすべきだと私が主張している理由はここにある。アンインストールすれば、終わることのない、大量のパッチの適用から解放される」

Trustwave のディレクターである Lamar Bailey 氏は InternetNews.com に対し、Java がこれだけ広く利用されているという現実を考えれば、Java に対する攻撃や、大量のパッチの適用が、近い将来に無くなることはないだろう述べた。

「Java は、多くのアタッカーとセキュリティ研究者のターゲットになっている。この状況は、短期間で変化するとは思えない」

Bailey 氏は、Oracle はパッチの提供で良い仕事をしていることを認めつつも、まだ十分ではないと述べる。

「Java が様々な分野で活用されていることを考えれば、Oracle はパッチの提供を、現在の四半期ごとから、月に1度に変更するべきだ。少なくとも、脆弱性の増加傾向が落ち着くまではそうすべきだろう」

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。