米Oracleは10月18日、四半期に1度のクリティカルパッチアップデート(CPU)を公開し、Java SEやDatabase Serverに存在する計253件の脆弱性を修正した。パッチを当てていない顧客が攻撃に遭う事例も報告されているとして、できるだけ早くCPUを適用するよう強く勧告している。
今回のCPUはDatabase Server、E-Business Suite、業界向けアプリケーション、Fusion Middleware、Sun製品、Java SE、MySQLなどの製品が対象となる。
Javaの脆弱性はJava SE 8 Update 102(8u102)までのバージョンが影響を受ける。危険度は最も高いもので、共通脆弱性評価システム(CVSS)3.0のベーススコアが9.6(最大値は10.0)と極めて高く、7件とも認証を経ずにリモートで悪用される恐れがある。これら脆弱性を修正したJava SE 8 Update 112(8u112)が同日公開された。
また、Database ServerやFusion Middlewareなどの製品でも、危険度が9.6〜9.8と極めて高い脆弱性を修正している。
次回のCPUは2017年1月17日に公開予定。
関連記事
- MySQLに重大な脆弱性見つかる、パッチ存在せずデフォルトで影響
攻撃に利用された場合、root権限で任意のコードを実行され、サーバを制御される可能性が指摘されている。 - Microsoft、10件の月例セキュリティ情報を公開 新しい更新モデルもスタート
深刻度が最大の「緊急」は5件。IEやEdge、Officeでは既に脆弱性の悪用も確認されている。 - Adobe、AcrobatやFlash Playerなどの更新版を一挙公開
事前に告知されたAdobe AcrobatとReaderに加え、Flash PlayerとCreative Cloud Desktop Applicationのセキュリティアップデートもリリースした。 - Google、デスクトップ向け「Chrome 54」の安定版を公開
危険度「高」の脆弱性など21件の問題が修正された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.