JPCERTコーディネーションセンター(JPCERT/CC)は29日、修正されたばかりのJRE(Java Runtime Environment:Java実行環境)の脆弱性を狙う攻撃が確認されたとして、注意を呼び掛けた。今月13日に公開された最新版を使用していない場合には、Webサイトを閲覧しただけで、ウイルスに感染してしまうおそれがある。
発表によると、修正されたばかりのJREの脆弱性を使用した攻撃機能が、一部の「Exploit Kit(エクスプロイトキット)」に組み込まれているのを確認したという。「Exploit Kit」は、閲覧者のパソコンにトロイの木馬や偽セキュリティソフトなどをインストールするために、さまざまな脆弱性攻撃を仕掛けるツールキットのこと。改ざんされた正規サイトから誘導される攻撃サイトでよく使われており、攻撃の拡大が懸念される。
新たに組み込まれた脆弱性攻撃が影響するのは、「JRE 7 Update 4」およびそれ以前のバージョンと、「JRE 6 Update 32」およびそれ以前のバージョン。これらを使用している場合には、改ざんサイトを閲覧するだけで、悪質なプログラムを強制的にインストールされてしまう可能性がある。先頃公開された「JRE 7 Update 5」「JRE 6 Update 33」で修正された脆弱性なので、必ずアップデートを実行し、最新版を使用していただきたい。
現在パソコンにインストールされているJREのバージョンは、下記の「Javaソフトウェアのインストール状況のテスト」のページで確認できる。最新版への更新は、Windowsの場合は、Javaコントロールパネルの[アップデート]タブの[今すぐアップデート]ボタンで。Macの場合は、アップルメニューの「ソフトウェア・アップデート」で行える。
(2012/6/29 ネットセキュリティニュース)
【関連URL】
・Java SE の脆弱性を狙う攻撃に関する注意喚起(JPCERT/CC)
http://www.jpcert.or.jp/at/2012/at120021.html
・Javaソフトウェアのインストール状況のテスト
http://www.java.com/ja/download/installed.jsp
【関連記事:ネットセキュリティニュース】
・オラクル、深刻な脆弱性を修正した「JRE 7/6」の最新版を公開(2012/06/13)
・アップル、OS X Lion/Mac OS X 10.6用Javaアップデート公開(2012/06/14)