オラクルは12日(米国時間)、複数の脆弱性を修正したJRE(Java Runtime Environment:Java実行環境)の最新版、JRE 6 Update 22(1.6.0_22)を公開した。
最新版では、29件の脆弱性が修正されている。このうち15件は、脆弱性の深刻度を評価するシステム“共通脆弱性評価システム(CVSS v2)”のCVSS基本値が、最高値の10となっている。オラクルでは、できるだけ早く最新版へ更新するようユーザーに呼びかけている。
JREは、ドライブバイダウンロード攻撃を行う攻撃者が好んで脆弱性悪用を図るソフトの一つ。先月24日の広告配信サーバーを改ざんして行われた攻撃でも、JREの脆弱性が狙われていた。今回明らかにされた脆弱性も、いつ悪用が始まるかわからない。古いJREがパソコンに入っていないかどうか早急に確認するようおすすめする。
現在パソコンにインストールされているJREのバージョンは、下記の「Javaソフトウェアのインストール状況のテスト」ページで確認できる。Javaコントロールパネル(パソコンのコントロールパネルのJavaアイコンから開ける)でも確認できるし、コマンドプロンプトで「java -fullversion」と入力してEnterキーを押しても分かる。
JREの最新版は、アップデート機能(自動更新機能や、Javaコントロールパネルの[アップデート]タブの[今すぐアップデート]ボタン)により入手できるほか、同社サイトから無料でダウンロードすることもできる。
(2010/10/14 ネットセキュリティニュース)
■Javaソフトウェアのインストール状況のテスト
http://www.java.com/ja/download/installed.jsp
■Javaのダウンロード
http://java.com/ja/download/
■Java Platform, Standard Edition 6 Update Release Notes[英文](オラクル)
http://www.oracle.com/technetwork/java/javase/6u22releasenotes-176121.html
■Oracle Java SE and Java for Business Critical Patch Update Advisory - October 2010[英文](オラクル)
http://www.oracle.com/technetwork/topics/security/javacpuoct2010-176258.html
<参考>
・脆弱性の深刻度評価の新バージョンCVSS v2について(IPA)
http://www.ipa.go.jp/security/vuln/SeverityLevel2.html
【関連記事:ネットセキュリティニュース】
・9月のサイト改ざん(1):広告配信サーバー改ざん、配信先で偽セキュリティソフト被害(2010/10/07)