Javaのダウンロードプロセスに脆弱性、Windowsユーザーは入れ替えを
Java SEの古いバージョンをダウンロードしたユーザーが脆弱性を修正するためには、古いダウンロードを破棄した上で、6u113/7u97/8u73以降のバージョンに入れ替える必要がある。
Javaをインストールするプロセスに脆弱性が発見され、米Oracleがセキュリティ情報を出してユーザーに対応を呼び掛けた。ダウンロード済みの古いJavaを破棄して更新版に入れ替えるよう促している。
Oracleの2月5日付のセキュリティ情報によると、脆弱性はWindows版のJava SE 6/7/8をインストールする過程に存在する。
悪用された場合、ユーザーがJava SEをインストールする前に不正なWebサイトに誘導され、ファイルをダウンロードさせられる恐れがある。システムを完全に制御される可能性も指摘されているものの、攻撃の成立には複雑な条件が必要とされ、危険度は共通脆弱性評価システム(CVSS)のベーススコアで7.6(最大値は10.0)と評価している。
影響を受けるのはWindows版のJava SE 6u111/7u95/8u71/8u72の各バージョン。脆弱性はインストールの過程のみに存在するためインストール済みのJava SEについては対応は不要だが、Java SEの6u113/7u97/8u73よりも前の古いバージョンをダウンロードして後にインストールする予定だったユーザーは、古いダウンロードを破棄した上で、6u113/7u97/8u73以降のバージョンに入れ替える必要がある。
Java SEのバージョンは公式サイトの「Java.com」で確認できる。Oracleではホームユーザーに対し、同サイトでJava SEが最新版に更新されていることを確認するよう促すとともに、それ以外のサイトからはJava SEをダウンロードしないよう注意を呼び掛けている。
関連記事
- Oracle、Java 9でブラウザプラグインを廃止へ
Javaなどのブラウザプラグインでは脆弱性を突く攻撃が横行し、動作が不安定になるなどの問題も指摘されていた。 - Oracleが定例セキュリティパッチを公開、深刻な脆弱性を多数修正
DatabaseやFusion Middleware、Javaなどの脆弱性に対処した。 - Intelのドライバ更新ツールに脆弱性、SSL接続使用せず
Intel Driver Update Utilityでは更新ダウンロード用のURLにSSLが使われていなかった。 - Lenovoのファイル共有アプリに脆弱性、「12345678」のパスワードをハードコード
Windows版のSHAREitでは、Wi-Fiホットスポットに「12345678」という安易なパスワードがハードコードされていた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.