AppleがMac向けのJavaを更新、攻撃の横行を受けリリース早める

OracleがJavaのアップデートを公開したのと同じ日に、AppleもMac OS X v10.6.8とOS X v10.7.4向けのJavaアップデートを公開し、深刻な脆弱性に対処した。

[鈴木聖子，ITmedia]

　米Appleは6月12日、Mac OS X v10.6.8（Snow Leopard）とOS X v10.7.4（Lion）向けのJavaアップデートを公開した。Mac OS Xに組み込まれたJavaを、Oracleが同日リリースした最新版に更新し、多数の深刻な脆弱性に対処している。また、安全でないと判断したJavaを自動的に無効化する措置も導入した。

　Appleのセキュリティ情報によると、「Java for OS X 2012-004」「Java for Mac OS X 10.6 Update 9」ではJavaをバージョン1.6.0_33に更新し、多数の深刻な脆弱性に対処した。これら脆弱性を悪用された場合、攻撃者が不正なJavaアプレットをWebサイトなどに仕込んでユーザーに閲覧させ、任意のコードを実行できてしまう恐れがある。

　Java関連のセキュリティ強化策として、Mac OS X v10.6.8でJavaブラウザプラグインとJava Web Startが35日間使われていない場合、無効化する措置も導入した。ユーザーがJavaを使う必要が生じた場合は再度有効にできる。

　また、Mac OS X v10.6.8／v10.7.4とも、最低限のセキュリティ基準を満たさないと判断した旧バージョンのJavaブラウザプラグインとJava Web Startは無効化する。この場合、ユーザーはソフトウェア・アップデートを通じてJavaの更新版を入手できる。

　これまではOracleがJavaの脆弱性情報を公開してからAppleが対処するまでに数週間から数カ月かかるのが通例だった。しかしMacを狙ったマルウェアの「Flashback」がこのタイムラグを突く形でJavaの脆弱性を悪用して感染を拡大。Appleはこうした事態を防ぐために、OracleのJavaアップデートとほぼ同時にMac OS Xのアップデートをリリースすることにしたとみられる。