Oracle、Java定例アップデートで認証強化へ アプレットなどに影響

2014年1月に予定されるJavaの定例アップデートでは、署名や権限設定の無いJavaアプレットやWeb Startがブロックされてしまう。

[ITmedia]

　Oracleは、米国時間2014年1月14日に公開予定のJavaの定例アップデートで、最新版（Java 7 update 51）に2件のセキュリティ変更を実施する。これにより、変更に対応しないJavaアプレットやWeb Startがブロックされてしまうという。

　同社によると、Java 7 update 51ではJavaアプレットおよびWeb Startに信頼された認証局が発行するコード署名と、ManifestにPermissions属性を設定することを義務付ける予定。これはJavaのサンドボックスが回避されてしまう危険性と署名を悪用する攻撃への対処が目的で、JavaアプレットやWeb Start以外のアプリケーションには影響しないと説明している。

　今回の措置は、今年9月にセキュリティ研究者が指摘した問題への対応とみられている。英Sophosなどによれば、セキュリティ研究者はJavaのコード署名の実装方法に問題があると指摘。攻撃者がこの問題を悪用すると、Java側の認証を回避してユーザーのコンピュータへ細工したアプレットを送り込み、不正なコードを実行できてしまうという。サンドボックスを含むあらゆるセキュリティ制限が無効化されてしまうと警告していた。

　このセキュリティ変更が実施されると、変更に対応していないJavaアプレットやWeb Startはブロックされてしまう。このため同社は、開発者などに対してアップデートを呼び掛けるとともに、企業などには「Deployment Rule Set」を利用して、対象アプリケーションをホワイトリストに登録することを推奨している。

　一方でSophosは、こうした措置が「セキュリティ警告の無効化によってサイバー犯罪者に対する抑止効果は全く無いし、企業とっては管理と配備が複雑になる」と警鐘を鳴らす。「可能な限りJavaを無効化するか、Webブラウザでは無効化しておくべき」と提唱している。