JRE(Java Runtime Environment:Java実行環境)の最新版であるJRE 7 Update 10(1.7.0_10)が今月12日に公開された。脆弱性の修正は含まれないが、Javaの安全性を高める新しいセキュリティ機能が追加されているので、未更新の方はアップデートされることをお勧めする。
最新版は、「Javaコントロールパネル」の[更新]タブにある[今すぐ更新]ボタンで入手できるほか、同社サイトから無料でダウンロードすることもできる。アップデート時には、Javaコントロールパネルも更新されるので、インストーラーの[インストール]ボタンを押す前に、必ずJavaコントロールパネルを閉じていただきたい。
今回のアップデートでは、このJavaコントロールパネルの[セキュリティ]タブが刷新され、Webブラウザ上でJavaコンテンツを有効にするかどうかを設定する機能と、セキュリティ・レベルの設定機能が追加される。
■「ブラウザでJavaコンテンツを有効にする」~無効化の設定が容易に
新しく追加された「ブラウザでJavaコンテンツを有効にする」のチェックボックスは、ディフォルトで有効(チェック済み)になっており、Webブラウザ上でJavaアプレットやJava Web Startアプリケーションを、これまで通りに実行できるようになっている。チェックボックスのチェックを外し[適用]ボタンを押すと、Webブラウザのプラグインがアンインストールされ、アプレットやアプリケーションは、Webブラウザ上で実行することができなくなる。
JREの脆弱性は、ユーザーのパソコンをウイルスに感染させる手段として好んで使われている。今年8月には、未修整の脆弱性を悪用したゼロデイ攻撃も発生し、修正版が提供されるまでの間は、WebブラウザのJavaプラグインを無効化するよう、セキュリティ機関などが呼び掛けていた。プラグインの無効化は、ブラウザごとに手順が異なるが、今後はこの「ブラウザでJavaコンテンツを有効にする」のチェックを外すだけで、すべてのブラウザのJavaプラグインを、まとめて無効にできる。
この新機能は、Javaアプリケーションを利用するためだけにJREをインストールしている方にとっても朗報だ。勝手にインストールされてしまうWebブラウザ用のプラグインは、セキュリティのリスクを増やすだけの余計な存在だったが、このチェックを外しておけば、ブラウザ経由の脆弱性攻撃を心配する必要がなくなる。
■「セキュリティ・レベル」~デフォルト以上に設定変更を
新規に追加されたもうひとつの「セキュリティ・レベル」は、未署名のアプレットやアプリケーション、ローカルに保存されたアプレットを、Webブラウザ上で実行する際の振る舞いを決める。4段階の各レベルでの振る舞いは、以下のようになっている。
・「非常に高」 JREが安全なバージョン(最新の脆弱性修正版)で、なおかつユーザーが実行を許可した場合のみ実行し、それ以外はすべてブロックする。
・「高」 ユーザーが実行を許可した場合のみ実行する。
・「中」 JREが安全なバージョンの場合に限り、ユーザーの許可なく実行する。JREが安全ではないバージョンの場合は、ユーザーに許可を求める。
・「低」 いかなる場合もユーザーの許可なく実行する。
ディフォルト設定は「中」になっているが、ユーザーの許可なく実行してしまうことのないよう、「高」以上に設定するか、「カスタム」で設定値を変更しておくことをお勧めする。
(2012/12/27 ネットセキュリティニュース)
【関連URL】
・リリースノート[英文](オラクル)
http://www.oracle.com/technetwork/java/javase/7u10-relnotes-1880995.html
・Javaのダウンロード(オラクル)
http://java.com/ja/download/
・Javaソフトウェアのインストール状況のテスト(オラクル)
http://www.java.com/ja/download/installed.jsp