米国 Oracle は10月15日、10月の Critical Patch Updates(CPU)を公開した。127件ものセキュリティ脆弱性に対応している。そのうちの51件は、Java に関するものだ。

Oracle、10月のパッチアップデートを公開―51件の Java 脆弱性に対応
今回の CPU に含まれる Java アップデートはその多くが「緊急」とされるものであり、利用者による迅速な適用が求められている。Oracle のグローバルテクノロジービジネス部門マネージャーである Eric Maurice 氏は、今回の CPU で修正される Java 脆弱性のうち50件は、リモートから認証なしで攻撃可能なものだと述べている。

10月の CPU で修正された Java 脆弱性のうち、6件は Hewlett Packard( HP)のセキュリティチームによって発見された。HP セキュリティリサーチの Zero Day Initiative 脆弱性リサーチマネージャーである Brian Gorenc 氏は eWeek に対し、HP が発見した脆弱性はすべて、攻撃者がサンドボックスをバイパスし、コードを実行可能にするものだったと説明した。

Gorenc 氏は、Java をすぐにアップデートするよう勧めている。

「昨日リリースされたパッチを分析しているのは、エンドユーザーだけではないことを忘れないで欲しい。攻撃者はパッチをリバースエンジニアリングし、パッチ未適用のシステムを攻撃するツールの構築を始めているはずだ」

51 件の Java 脆弱性

パッチの数が51件と聞けば、通常であれば皆驚くだろう。だが、残念ながら、Java に対するものと聞けば、51件は珍しくないと感じるはずだ。

セキュリティベンダーの CTO である Wolfgang Kandek 氏もそう感じた人の1人。同氏は eWeek に対し、10月の CPU に Java 脆弱性に対する修正が大量に含まれていたことに驚かなかったと述べた。

「Java アップデートはこの1年、30から50件程度が普通になっている。それ以前は、10から20件程度だった。私はこれは、攻撃者とセキュリティ研究者の両方が、Java に対する関心を高めた結果だと見ている」

Java は51件のパッチがリリースされたが、Oracle のフラグシップ製品である Oracle Database に対するパッチはわずか2件だった。

Oracle CPU のサイズが肥大化していることに対しては、懸念を表明しているセキュリティ研究者もいる。Kandek 氏は次のように述べる。

「CPU が大きくなればなるほど、IT 管理者の負担が増加することになる。多くの脆弱性が修正されること自体は良いことだが、IT 部門が対応できるかどうかは、また別の話だ」

セキュリティリサーチ企業 Tripwire の Tyler Reguly 氏も、CPU サイズが増大していることに悲観的だ。

「今期の CPU を見ると、Oracle はパッチを四半期ごとではなく、毎月リリースするべきだと思える。Oracle は今回、51件の Java パッチを含む127件のパッチをリリースした。だが、毎月40件リリースしても良いのではないだろうか?Oracle の利用者は、Oracle が顧客を保護するのに、四半期ごとのパッチで十分だと考えていることに対して、もっと怒るべきだ」

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。