Oracle、481件の脆弱性修正を公開 Java含む複数製品をアップデート：セキュリティニュースアラート

Oracleは、複数製品の脆弱性に対応するため、481件のセキュリティ修正を含む定例アップデートを公開した。既存の欠陥が攻撃に使われる事例が報告され、迅速な適用とサポート対象版の利用を呼びかけている。

[ITmedia エンタープライズ編集部，ITmedia]

　Oracleは2026年4月22日（現地時間）、複数製品に存在する脆弱（ぜいじゃく）性へ対応した「Critical Patch Update」（CPU）の最新版を公開した。今回の更新には合計481件の新規セキュリティ修正が含まれ、同社製品および組み込まれた外部コンポーネントの欠陥に対処した。

Javaの欠陥、ネットワーク経由で悪用可能

　CPUは四半期ごとに提供される定例のセキュリティ更新で、過去の更新内容を累積している。最新の内容は直近の更新以降に追加された修正に限定されるため、以前のアドバイザリーも参照する必要がある。同社は脆弱性の悪用が継続的に確認されているとし、修正が公開済みであるにもかかわらず未適用の環境が標的となるケースがあると説明する。実際に侵害へ至った事例も報告されていることから、ユーザーには迅速なアップデート適用とサポート対象バージョンの利用を強く求めている。

　今回の更新対象には、データベースやミドルウェア、アプリケーションなど幅広い製品群が含まれる。その中でもJava SEに関する修正は11件で、このうち7件は認証不要でネットワーク経由で悪用される危険性があるという。これらの欠陥は、特にクライアント環境で未信頼コードを実行するケースに影響する。Javaのサンドボックス機構に依存する実行環境においては、悪意あるコードの読み込みによって情報漏えいや改ざん、サービス停止につながる可能性がある。

　CVSS（共通脆弱性評価システム）による評価においては、最大でスコア7.5の欠陥が複数含まれる。管理者権限でアプリケーションを実行する環境では影響が大きく、機密性と完全性、可用性のリスクが高くなる。制限権限で運用する場合は影響度が低下するものの、依然として対策は不可欠だ。

　対象バージョンはJava SEの複数リリースに加え、GraalVM関連製品にも及ぶ。一部の修正では複数のCVEを同時に解消しており、関連する脆弱性群への包括的な対応が図られている。外部ライブラリー由来の問題にも修正が提供されているが、これらは悪用困難と評価されるケースも含まれる。

　影響を受けるとされる製品およびバージョンは次の通り。

• GraalVM for JDK 21.0.10
• Oracle GraalVM Enterprise Edition 21.3.17
• Oracle GraalVM Enterprise Edition21.3.17
• Oracle GraalVM for JDK 17.0.18
• Oracle GraalVM for JDK 21.0.10
• Oracle Java SE 11.0.30
• Oracle Java SE 17.0.18
• Oracle Java SE 21.0.10
• Oracle Java SE 25.0.2
• Oracle Java SE 26
• Oracle Java SE 8u481
• Oracle Java SE 8u481-b50
• Oracle Java SE 8u481-perf

　Oracleは運用支援として「Java Management Service」を提供しており、システムの脆弱なJavaバージョンの特定や更新作業、サードパーティー製ライブラリーの確認などに活用できるとしている。このサービスはクラウド利用者やサブスクライバーに機能が拡張されている他、一般ユーザーにも基本機能が開放されている。

　セキュリティ対策の観点において、ソフトウェア更新の遅れが重大なリスク要因となる。公開済みの修正を適用しなければ、既知の手法による侵入を許す可能性が高まる。今回のCPUは広範囲にわたる製品を対象としているため、ユーザーは影響範囲を把握した上で優先順位を付け、計画的に適用する必要がある。