Oracle、セキュリティ強化の「Java SE 7 Update 10」をリリース

Java SE 7 Update 10ではWebブラウザ内で実行されるJavaアプリケーションを無効にできる機能が加わるなど、セキュリティ対策が強化された。

[鈴木聖子，ITmedia]

　米Oracleは、Java最新版の「Java SE 7 Update 10」を公開した。Webブラウザ内で実行されるJavaアプリケーションを無効にできる機能が加わるなど、セキュリティ対策の強化を図っているのが特徴だ。

　Javaアプリケーションの有効／無効は、「Java Control Panel」で設定できる。「Security」タブで「Enable Java content in the browser」（ブラウザのJavaコンテンツを有効にする）のチェックを外すと、Webブラウザ内でJavaアプリケーションが実行されなくなる。

　一方、Javaアプリケーションが有効になっているデフォルトの状態では、Webブラウザで実行される無署名のアプレット、Java Web Startアプリケーション、組み込みJavaFXアプリケーションについて、4段階のセキュリティレベルを設定できるようになった。初期設定は下から2番目の「Medium」に設定されているが、「Very High」に引き上げると、JavaアプリがWebブラウザで実行される前に通告が出るようになり、セキュアでないバージョンのJavaでは無署名のアプリが実行されなくなる。

　また、Javaランタイムが最新のセキュリティベースラインに更新されているかどうか、有効期限が切れていないかどうかをチェックする機能も加わった。セキュアでないと判断した場合は、警告メッセージを表示してアップデートを促す。

　Javaはここ数年で脆弱性を突く攻撃が横行するようになり、WindowsとMacの両方を狙うマルウェアなどの標的にされていた。セキュリティ企業Kaspersky Labが運営するニュースサービスthreat postの記事では、「OracleがWebブラウザ内でJavaアプリケーションの実行を無効にできるようにしたことは、横行するJava攻撃の防止において重要な一歩となり得る」と評価している。