OracleがJavaの更新版を公開、既知の脆弱性突く攻撃急増も

[鈴木聖子，ITmedia]

　米Oracleは、Javaの更新版となる「Java SE 6 Update 30」を米国時間の12月12日にリリースした。

　米セキュリティ機関SANS Internet Storm CenterのブログやOracleのリリースノートによると、今回のアップデートは機能改善に主眼が置かれ、それほど深刻な脆弱性の修正は盛り込まれていないとみられる。

　ただ、開発者が留意すべきセキュリティ問題としてSANSは、SSLの利用に関する問題と、JavaScriptを通じてアプレットが呼び出された際のHTTPSにおけるセキュアcookieの利用に関する問題の2つを挙げた。

　これとは別に、ロシアのセキュリティ企業Kaspersky Labは13日のブログで、Java仮想マシンの既知の脆弱性を狙った攻撃が急増していると伝えた。

　同社によると、この脆弱性はOracleが10月18日に公開したJavaの定例アップデートで修正されたが、最近になってこれを悪用した攻撃が横行し始めた。Webページなどを閲覧しただけでマルウェアに感染するドライブバイ攻撃に利用される恐れもあるという。

　Javaはユーザーがアップデートを適用しないまま放置していることも多く、そうした実態に付け込んで既知の脆弱性を悪用しようとする攻撃の横行も指摘されている。Kasperskyでは「全ユーザーがJavaのアップデートを迅速に適用することが不可欠」と忠告している。