Javaの脆弱性を突く攻撃が横行、Firefoxのプラグインを無効化

[鈴木聖子，ITmedia]

　Javaの旧バージョンに存在する脆弱性を突いた攻撃が横行しているとして、Mozillaは最新のアップデートが適用されていないWindows版のJavaプラグインをFirefoxのブロックリストに追加し、無効にする措置を取ったことを明らかにした。

　Oracleは2月の定例セキュリティアップデートでJavaの脆弱性14件に対処しているが、Javaのアップデートを導入しないまま脆弱性を放置しているユーザーが多いことは以前から問題になっていた。

　Firefoxでは自分の使っているプラグインがブロックリストに追加されると通知が出る仕組みになっており、この時点であえて選択して有効にしない限り、そのプラグインは無効化される。

　Mozillaは4月2日のブログで「2月に公開されたJava Development Kit（JDK）とJava Runtime Environment (JRE）のアップデートには、任意のコード読み込みに使われかねない深刻な脆弱性を修正するパッチが含まれている」と指摘。この脆弱性は実際に悪用されており、ユーザーが危険にさらされていると判断して無効化の措置を取ったと説明した。JDKとJREが必要なユーザーはできるだけ早く最新バージョンにアップデートするよう呼び掛けている。

　Javaの脆弱性をめぐっては、Macを狙ったマルウェアの「Flashback」に、Macでは未解決だったJavaの脆弱性を突いた亜種が出現したと伝えられていた。Mozillaでは、脆弱性が解決されていないMaac版のJavaプラグインもいずれブロックリストに追加する可能性があるとした。

　Appleは4月3日になって、これらJavaの脆弱性に対処するためのアップデートをMac OS X向けに公開している。