サンマイクロシステムズは4日、複数の脆弱性を修正したJavaの実行環境、JRE(Java Runtime Environment)の最新版、JRE 6 Update 17(1.6.0_17)と5.0 Update 22(1.5.0_22)を公開した。
最新版では、画像ファイルやオーディオファイルを扱う際に発生する、複数のバッファオーバーフローや整数オーバーフローの問題などが修正。この脆弱性が悪用されると、細工されたアプレットやJavaウェブスタートアプリケーションがセキュリティの制限を超えてローカルファイルにアクセスできる可能性があり、情報を盗み取られたり任意のプログラムを実行されるおそれがある。
今回のアップデートでは、この他に英語版のWindows以外の環境でJREのアップデート機能がうまく動作せず最新版に更新できない問題や、デジタル証明書を正しく検証できない問題なども修正されている。
インストールされているJREのバージョンは、Javaコントロールパネル(コントロールパネルのJavaアイコン)を開き、「バージョン情報」で確認できるほか、コマンドプロンプトで「java -fullversion」と入力して実行、下記「Javaソフトウェアのインストール状況のテスト」のページでも確認できる。
最新版は、アップデート機能(自働更新機能やJavaコントロールパネルの「今すぐアップデート」)により更新できるほか(※注)、同社サイトから無償でダウンロードできる。
なお、JREは更新版をインストールしても旧版がパソコン内に残る。そのままにしておくと脆弱性の問題が解消されないため、旧バージョンが不要な場合はアンインストールするようおすすめする。業務や訪問サイトの関係で旧バージョンを残しておかなければならない場合には、普段は無効化しておき、必要な時だけ有効にするとよい。
(※注)
今回の修正項目には、アップデート機能がうまく動作しない問題が含まれている。JRE 6をインストールした編集部の環境で確認したところ、Windows XPを使用しているパソコンでは正常に更新の通知があり、最新版にアップデートできたが、Windows Vista環境では通知されず、「今すぐアップデート」を実行しても、「このシステムはすでに最新のJavaプラットフォームになっています」と主張しアップデートできなかった。アップデート機能で更新できない場合には、同社サイトで更新していただきたい。
(2009/11/04 ネットセキュリティニュース)
【リリースノート】
・JRE 6 Update 17(サンマイクロシステムズ)
http://java.sun.com/javase/ja/6/webnotes/6u17.html
・5.0 Update 22(サンマイクロシステムズ)
http://java.sun.com/j2se/1.5.0/ja/ReleaseNotes.html#150_22
【ダウンロード】
・JRE 6 Update 17
http://java.com/ja/download/
・JRE 5 Update 22
http://java.sun.com/j2se/1.5.0/ja/download.html
■Javaソフトウェアのインストール状況の確認(サンマイクロシステムズ)
http://www.java.com/ja/download/installed.jsp