オラクルは31日、4件の脆弱性を修正したJRE(Java Runtime Environment:Java実行環境)の最新版、JRE 7 Update 7(1.7.0_7)と、JRE 6 Update 35(1.6.0_35)を公開した。早急にアップデートするようおすすめする。
最新版では、JRE 7 Update 6およびそれ以前のバージョンに影響する4件の脆弱性と、JRE 6 Update 34およびそれ以前のバージョンに影響する1件の脆弱性が修正された。
JRE 7のみに影響する脆弱性3件は、脆弱性評価システム「CVSS」のスコアが最高値の10.0の危険なもので、細工したアプレット(ブラウザ上で実行されるJavaプログラム)を使って任意のコードが実行されるおそれがある。
そのなかのひとつ「CVE-2012-4681」は、サイトを閲覧するだけでウイルスに感染してしまうドライブバイダウンロード攻撃に悪用されており、知らない間にパソコンを乗っ取られてしまうなどの深刻な被害が発生する可能性が高い。利用者は、早急に最新版へアップデートするようおすすめする。
JREの最新版は、アップデート機能(自動更新機能や、Javaコントロールパネルの[アップデート]タブの[今すぐアップデート]ボタン)により入手できるほか、同社サイトから無料でダウンロードすることもできる。
なおJREは、パソコンに最初からインストールされていることもあるので、利用しているつもりのない方も、下記の「Java のバージョンの確認」ページでインストール状況を確認していただきたい。JREがインストールされている場合には、このページの[Javaのバージョン確認]ボタンをクリックすると、10秒から数十秒でチェックが終了し、使用中のバージョンが推奨バージョンなのか、アップデートが必要なバージョンなのかを確認できる。検出できない場合は、インストールされていないので、そのままページを閉じればよい。
(2012/08/31 ネットセキュリティニュース)
【関連URL】
・Javaのダウンロード(オラクル)
http://java.com/ja/download/
・Java のバージョンの確認(オラクル)
http://www.java.com/ja/download/installed.jsp
・Oracle Security Alert for CVE-2012-4681[英文](オラクル)
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html
・Security Alert for CVE-2012-4681 Released[英文](オラクル)
https://blogs.oracle.com/security/entry/security_alert_for_cve_20121
・JRE / JDK バージョン7のゼロデイ脆弱性を悪用する攻撃検知状況(IBM Tokyo SOC)
https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/java_0day_20120830?lang=ja