Oracle、Javaの定例アップデートを公開 「極めて深刻」な脆弱性を多数修正
修正された40件の脆弱性のうち37件は、リモートから認証を経ずに悪用される恐れがある。脆弱性を修正した最新版は「Java SE 7 Update 25」となる。
米Oracleは6月18日、予告通りにJava SEの定例セキュリティアップデートとなる「Critical Patch Update」(CPU)を公開した。脆弱性を修正したJavaの最新版は「Java SE 7 Update 25」(1.7.0_25)となる。
同社のセキュリティ情報によると、今回のCPUでは計40件の脆弱性に対処した。このうち37件について、リモートから認証を経ずに悪用される可能性が指摘されている。
40件のうち34件はクライアント版のみに影響する脆弱性で、危険度を示す共通指標CVSSのベーススコアが最も高い「10.0」の極めて深刻な脆弱性が11件に上る。
残る6件の内訳は、クライアント版とサーバ版に影響する脆弱性が4件、Javaインストーラの脆弱性が1件、「Javadoc」ツールの脆弱性が1件となっている。
このうちJavadocツールの脆弱性は、同ツール(バージョン1.5以降)によって作成されたHTMLページにもframe挿入の脆弱性が発生する。悪用された場合、Webページに不正なframeが挿入され、ユーザーが悪質なページに誘導される恐れがある。
OracleはJavadocツールの脆弱性を修正するとともに、同ツールで作成されたHTMLファイルの脆弱性を修正するためのユーティリティ「Java API Documentation Updater Tool」を併せて公開した。
次回のJavaのCPUは10月15日に公開予定。次回以降はOracleのデータベースなど他の製品向けのCPUと同時に、年4回の定例アップデートを予定している。
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.