サンマイクロシステムズは米国時間2日、複数の脆弱性を修正したJRE(Java Runtime Environment:Javaランタイム環境)1.4/5.0/6の最新版を公開した。
同社が公開した14件のアドバイザリによると、今回修正された脆弱性の中には、悪用されるとPCを乗っ取られる、情報を盗み取られる、DoS攻撃を受けるなどの被害にあうおそれがあるものも含まれている。デンマークのSecuniaは23件の問題を指摘し、深刻度を5段階中2番目に高い「Highly critical」と評価。フランスのVUPENでは20件の問題をあげ、深刻度を4段階中最も高い「Critical」としている。
脆弱性の影響を受けるのは、JRE 1.3.1_23以前、1.4.2_18以前、5.0 Update 16以前と、6 Update 10以前。1.3系は2006年に、また1.4系の無償版は今年の10月30日にサポートが終了している。可能なら5.0系または6系に移行しておきたい。なお5.0系も、2009年10月30日でサポートが終了する予定。
PCにインストールされているJREのバージョンは、コマンドプロンプト(Windows XPやVistaなら[スタートメニュー]→[すべてのプログラム]→[アクセサリ]→[コマンドプロンプト])を開き、「java -fullversion」と入力して「Enter」キーを押すと表示される。下記「Javaソフトウェアのインストール状況のテスト」のページでも確認できる。
またJREは、更新版をインストールしても旧バージョンがパソコン内に残る。そのままにしておくと脆弱性の影響を受け続けることになるため、旧バージョンが不要な人はアンインストールするようおすすめする。業務などで旧バージョンを使わなければならない人は、普段は無効化しておき、必要な時だけ有効にするとよい。
(2008/12/09 インターネットセキュリティニュース)
■Java における複数の脆弱性に対するアップデート(JVN)
http://jvn.jp/cert/JVNTA08-340A/
■Sun Java JDK / JRE Multiple Vulnerabilities[英文](Secunia)
http://secunia.com/advisories/32991/
■Sun Java Multiple Code Execution and Security Bypass Vulnerabilities[英文](VUPEN Security)
http://www.vupen.com/english/advisories/2008/3339
■各バージョンの最新版
・1.4.2_19
http://java.sun.com/j2se/1.4.2/ja/download.html
・5.0 Update 17
http://java.sun.com/j2se/1.5.0/ja/download.html
・6 Update 11
http://java.sun.com/javase/ja/6/download.html
■Javaソフトウェアのインストール状況の確認(java.com)
http://www.java.com/ja/download/installed.jsp