Oracleは米国時間3月23日、Javaのセキュリティアップデートとなる「Java SE JDK/JRE 8 Update 77」をリリースして、深刻な脆弱性を解決した。
脆弱性はJDK/JRE 8 Update 74およびそれ以前のバージョン、JDK/JRE 7 Update 97およびそれ以前のバージョンのWindows版、Solaris版、Linux版、Mac版に存在する。共通脆弱性評価システム(CVSS)バージョン2による評価値は9.3(最大値は10.0)で、脆弱性の影響は大きいとみられる。
Oracleによれば、脆弱性があるバージョンをデスクトップのWebブラウザ上で実行する環境において脆弱性が悪用された場合、リモートから任意のコードを実行されてしまう恐れがある。また、サーバやスタンドアロンで稼働するデスクトップ環境では一般的に信頼されたコードしか実行されないため、この脆弱性の影響を受けにくいとも説明している。
同社はユーザーに、更新版を可能な限り早く適用することを強く推奨している。なお、米国時間の4月19日にはOracle製品の定例セキュリティアップデートの公開も予定されている。
関連記事
- Oracleが定例セキュリティパッチを公開、深刻な脆弱性を多数修正
DatabaseやFusion Middleware、Javaなどの脆弱性に対処した。 - Javaのダウンロードプロセスに脆弱性、Windowsユーザーは入れ替えを
Java SEの古いバージョンをダウンロードしたユーザーが脆弱性を修正するためには、古いダウンロードを破棄した上で、6u113/7u97/8u73以降のバージョンに入れ替える必要がある。 - Oracle、Java 9でブラウザプラグインを廃止へ
Javaなどのブラウザプラグインでは脆弱性を突く攻撃が横行し、動作が不安定になるなどの問題も指摘されていた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.