Javaの定例セキュリティアップデートが公開、多数の深刻な脆弱性に対処

Java SEの「クリティカルパッチアップデート」では14件の脆弱性に対処した。このうち5件は極めて危険度が高く、システムを完全に制御される恐れもある。

» 2012年02月16日 07時25分 公開
[鈴木聖子,ITmedia]

 米Oracleは、Java SEの定例セキュリティアップデートとなる「クリティカルパッチアップデート」(CPU)を2月14日付で公開し、Java Runtime Environment(JRE)とJavaFXに存在する14件の脆弱性に対処した。

 同社のセキュリティ情報によると、14件の脆弱性はいずれもリモートで認証を経ずに悪用される恐れがある。中でも共通指標のCVSSベーススコアで最高値となる「10.0」のスコアが付いている脆弱性は極めて危険度が高く、Windowsプラットフォームではシステムを完全に制御される恐れがある。

 これら脆弱性は、JDK/JRE 7 Update 2、JDK /JRE 6 Update 30、JDK/JRE 5.0 Update 33、SDK/JRE 1.4.2_35、JavaFX 2.0.2までの各バージョンが影響を受ける。

 Javaの脆弱性を突いた攻撃は2011年ごろから急増している。攻撃側は、Javaのアップデートが公開されているのに適用しないまま放置しているユーザーが多いことに着目。米Microsoftの報告書によれば、同年上半期に発生したソフトウェアの脆弱性を突く攻撃の中で最も多かったのは、JRE、Java仮想マシン(JVM)およびJava SEを狙った攻撃だったという。

 こうした事情からOracleは、できるだけ早くCPUを適用するようユーザーに呼び掛けている。

 次回のJava SEクリティカルパッチアップデートは米国時間の6月12日に公開予定。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ