Javaのダウンロードプロセスに脆弱性、Windowsユーザーは入れ替えを

Java SEの古いバージョンをダウンロードしたユーザーが脆弱性を修正するためには、古いダウンロードを破棄した上で、6u113/7u97/8u73以降のバージョンに入れ替える必要がある。

» 2016年02月09日 07時51分 公開
[鈴木聖子ITmedia]

 Javaをインストールするプロセスに脆弱性が発見され、米Oracleがセキュリティ情報を出してユーザーに対応を呼び掛けた。ダウンロード済みの古いJavaを破棄して更新版に入れ替えるよう促している。

 Oracleの2月5日付のセキュリティ情報によると、脆弱性はWindows版のJava SE 6/7/8をインストールする過程に存在する。

 悪用された場合、ユーザーがJava SEをインストールする前に不正なWebサイトに誘導され、ファイルをダウンロードさせられる恐れがある。システムを完全に制御される可能性も指摘されているものの、攻撃の成立には複雑な条件が必要とされ、危険度は共通脆弱性評価システム(CVSS)のベーススコアで7.6(最大値は10.0)と評価している。

 影響を受けるのはWindows版のJava SE 6u111/7u95/8u71/8u72の各バージョン。脆弱性はインストールの過程のみに存在するためインストール済みのJava SEについては対応は不要だが、Java SEの6u113/7u97/8u73よりも前の古いバージョンをダウンロードして後にインストールする予定だったユーザーは、古いダウンロードを破棄した上で、6u113/7u97/8u73以降のバージョンに入れ替える必要がある。

脆弱性の影響を受けるバージョン

 Java SEのバージョンは公式サイトの「Java.com」で確認できる。Oracleではホームユーザーに対し、同サイトでJava SEが最新版に更新されていることを確認するよう促すとともに、それ以外のサイトからはJava SEをダウンロードしないよう注意を呼び掛けている。

ダウンロードは必ず正規サイトから

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ