Oracle、Javaの定例アップデートを公開 「極めて深刻」な脆弱性を多数修正

[鈴木聖子，ITmedia]

　米Oracleは6月18日、予告通りにJava SEの定例セキュリティアップデートとなる「Critical Patch Update」（CPU）を公開した。脆弱性を修正したJavaの最新版は「Java SE 7 Update 25」（1.7.0_25）となる。

　同社のセキュリティ情報によると、今回のCPUでは計40件の脆弱性に対処した。このうち37件について、リモートから認証を経ずに悪用される可能性が指摘されている。

　40件のうち34件はクライアント版のみに影響する脆弱性で、危険度を示す共通指標CVSSのベーススコアが最も高い「10.0」の極めて深刻な脆弱性が11件に上る。

　残る6件の内訳は、クライアント版とサーバ版に影響する脆弱性が4件、Javaインストーラの脆弱性が1件、「Javadoc」ツールの脆弱性が1件となっている。

　このうちJavadocツールの脆弱性は、同ツール（バージョン1.5以降）によって作成されたHTMLページにもframe挿入の脆弱性が発生する。悪用された場合、Webページに不正なframeが挿入され、ユーザーが悪質なページに誘導される恐れがある。

　OracleはJavadocツールの脆弱性を修正するとともに、同ツールで作成されたHTMLファイルの脆弱性を修正するためのユーティリティ「Java API Documentation Updater Tool」を併せて公開した。

　次回のJavaのCPUは10月15日に公開予定。次回以降はOracleのデータベースなど他の製品向けのCPUと同時に、年4回の定例アップデートを予定している。