Javaのアップデートが公開に、危険度が高い脆弱性を多数修正

17件の脆弱性のうち、9件は危険度が極めて高い。Javaの脆弱性を突いた攻撃は増加しており、できるだけ早く最新版にアップデートすることが望ましい。

[鈴木聖子，ITmedia]

　米Oracleは、Java SEの定例セキュリティアップデートとなる「クリティカルパッチアップデート」（CPU）を6月7日付で公開した。

　同社のセキュリティ情報によると、今回のCPUではJava SEに存在する17件の脆弱性に対処した。このうち9件はCVSSのベーススコアで最も危険度が高い10.0と評価されており、悪用された場合はシステムを完全に制御される恐れがある。

　Javaの脆弱性は、不正なデータをAPIに送り付けたり、不正なJavaアプレットやJava Web Startアプリケーションを使う手口で悪用される恐れがある。信頼できないアプレットなどはサンドボックス内で実行して機能を制限する設計になっているが、危険度が高い脆弱性ではサンドボックスをかわされてしまう可能性もあるという。

　脆弱性はJDK／JRE 6 Update 25、JDK 5.0 Update 29、SDK 1.4.2_31までのバージョンに存在する。最新版は「Java 6 Update 26」となる。Javaの脆弱性を突いた攻撃は、特にWindowsで増加が伝えられており、Oracleでは「できるだけ早期のCPU適用を強く推奨する」と促している。

　次回のJava SEのCPUは10月18日に公開予定。