オラクルは米国時間15日、複数の脆弱性を修正したJRE(Java Runtime Environment:Java実行環境)の最新版、JRE 6 Update 24(1.6.0_24)を公開した。
最新版では、26件の脆弱性が修正されている。このうち8件は、脆弱性の深刻度を評価するCVSS(共通脆弱性評価システム)の基本値が最高値の10。これは、その脆弱性が悪用された場合、パソコンを乗っ取られる、情報が漏えいしたり改ざんされたりするなどの被害が発生するおそれがあることを示している。オラクルでは、ユーザーに対し、できるだけ早く最新版へ更新するよう呼びかけている。
現在パソコンにインストールされているJREのバージョンは、下記の「Javaソフトウェアのインストール状況のテスト」ページで確認できる。Javaコントロールパネル(パソコンのコントロールパネルのJavaアイコンから開ける)でも確認できるし、コマンドプロンプトで「java -fullversion」と入力してEnterキーを押しても分かる。
JREの最新版は、アップデート機能(自動更新機能や、Javaコントロールパネルの[アップデート]タブの[今すぐアップデート]ボタン)により入手できるほか、同社サイトから無料でダウンロードすることもできる。
なお、今回修正された脆弱性のうち1件については、実証コードが公開されて悪用の危険が高まったため、米国時間8日に臨時のパッチが公開されていた。この脆弱性は、浮動小数点値の扱いに問題がありハングアップが発生するというもの。サーバーへの攻撃に用いられると影響が大きいが、家庭で利用するパソコンに関してはそう大きな問題にはならない。このためオラクルでは、一般のユーザーにはパッチの適用を呼びかけていなかった。
(2011/02/16 ネットセキュリティニュース)
【関連URL】
・Javaソフトウェアのインストール状況のテスト
http://www.java.com/ja/download/installed.jsp
・Javaのダウンロード
http://java.com/ja/download/
・Java SE 6 Update 24 リリースノート(オラクル)
http://java.sun.com/javase/ja/6/webnotes/6u24.html
・February 2011 Java SE and Java for Business Critical Patch Update Released[英文](The Oracle Global Product Security Blog)
http://blogs.oracle.com/security/2011/02/february_2011_java_se_and_java.html
・Oracle Java SE and Java for Business Critical Patch Update Advisory - February 2011[英文](ORACLE)
http://www.oracle.com/technetwork/topics/security/javacpufeb2011-304611.html