OracleがJavaの臨時パッチをリリース、サーバ攻撃発生の危険が高まる

Javaの脆弱性情報とコンセプト実証コードが公開された。サーバが攻撃を受けると完全なサービス妨害（DoS）状態に陥る可能性があるという。

[鈴木聖子，ITmedia]

　Javaの脆弱性に関する情報がインターネットで公開され、攻撃が発生する危険が強まったとして、米Oracleは2月8日付でこの脆弱性を修正するための臨時パッチをリリースした。

　同社によると、脆弱性はJava SEとJava For BusinessのコンポーネントであるJava Runtime Environment（JRE）に存在する。最近になって情報が公開され、インターネットを通じて広まったという。同時に出回っているコンセプト実証コードを利用すれば、攻撃コードを作成できてしまう恐れもある。サーバの場合は、攻撃を受けると完全なサービス妨害（DoS）状態に陥る可能性があり、特にJavaベースのアプリケーションやWebサーバでは危険が大きいという。

　一方、デスクトップでは、例えばWebブラウザで実行されているJavaアプリケーションやアプレットが反応しなくなることはあっても、デスクトップOSレベルまでは攻撃が及ばないため、サーバに比べれば影響は小さいとされる。

　Oracleは更新版の「Java Runtime Environment（JRE）6 update 24」でこの問題を修正。企業に対してはできるだけ早期の適用を強く促す一方、コンシューマーはJavaの自動更新を利用して更新を適用してほしいと呼びかけている。

　Oracleは通常、Javaの脆弱性に対処する「Critical Patch Update（CPU）」を4カ月ごとに定例公開している。次回の定例CPUは米国時間の2月15日に公開予定で、今回の臨時アップデートもこのCPUに含めるとしている。