Oracle、Javaやデータベースのアップデートを一挙公開 新たなセキュリティ対策も実装

Javaの脆弱性には危険度の高いものも多数含まれる。最新版ではブラウザ経由で実行されるアプリなどについて、実行前に確認を促す画面が表示されるようになった。

[鈴木聖子，ITmedia]

　米Oracleは4月16日、Javaの脆弱性を修正する定例セキュリティアップデート「Java SE Critical Patch Update」と、データベースなどの脆弱性を修正する定例セキュリティアップデート「Critical Patch Update」を公開した。

　Oracleによると、Javaのアップデートでは計42件の脆弱性に対処した。このうち39件はリモートから認証を経ずに悪用される恐れがあり、19件は危険度が共通指標のCVSSベーススコアで最も高い「10.0」と評価されている。

　Javaの脆弱性は頻繁に攻撃に利用されており、Oracleはできるだけ早くアップデートを適用するよう促している。

　これら脆弱性を修正したJavaの最新版は「Java 7 Update 21」（1.7.0_21）となる。このバージョンでは新たなセキュリティ対策として、ブラウザ経由で実行される全てのJavaコンテンツ（アプレットおよびアプリケーション）について、実行前にユーザーの確認を促す画面が表示されるようになった。

　この確認画面では、不正なデジタル証明書を使用しているアプリや、署名のないアプリ、古いバージョンのJavaを使っている場合などに警告を出す。一方、危険度が低いと判断されたものについては、画面上のチェックボックスにチェックを入れると、以後、同じベンダーのアプリについては確認画面が表示されなくなる。

　もう1件の定例パッチは、Oracle DatabaseとFusion Middleware、E-Business Suite、Supply Chain Products Suite、PeopleSoft Enterprise、Siebel CRM、FLEXCUBE、Industry Application、Primavera、Sun Systems Product Suite (Sun Middleware Productを含む)、MySQL、Support Toolが対象となる。これら製品に存在する合計128件の脆弱性に対処した。

　次回のJava定例アップデートは6月18日に、データベースなどの製品のアップデートは7月16日に公開予定。