オラクルは14日、JRE(Java Runtime Environment:Java実行環境)の最新版「JRE 7 Update 11(1.7.0_11)」を公開した。深刻な脆弱性2件が修正されており、うち1件はすでに攻撃に悪用されている。オラクルは、できる限り早く最新版に更新するよう強くすすめている。
最新版では、脆弱性評価システム「CVSS」のスコアが最高値「10.0」の危険な脆弱性2件が修正された。そのうち「CVE-2013-0422」は、サイトを閲覧するだけでウイルスに感染してしまうドライブバイダウンロード攻撃に悪用されており、知らない間にパソコンを乗っ取られてしまうなどの深刻な被害を受けるおそれがある。
攻撃の影響は国内でも確認されている。IBM東京セキュリティー・オペレーション・センター(IBM Tokyo SOC)は11日、国内で1月8日と9日に、エクスプロイトキット「Blackhole Exploit Kit」によるマルウェアダウンロード件数が増加していたことを明らかにした。Blackhole Exploit Kitは、この脆弱性を突く攻撃コードを実装した複数のエクスプロイトキットのうちのひとつだ。
なお、最新版では、Javaのセキュリティレベルのデフォルト設定が、これまでの「中」から「高」に変更された。これにより、未署名のアプレットやアプリケーションについては、実行を許可するかどうかたずねるダイアログが表示されるようになった。
JREの最新版は、アップデート機能(自動更新機能や、Javaコントロールパネルの[更新]タブの[今すぐ更新]ボタン)により入手できるほか、同社サイトから無料でダウンロードすることもできる。
(2013/01/15 ネットセキュリティニュース)
【関連URL】
・リリースノート[英文](オラクル)
http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html
・Oracle Security Alert for CVE-2013-0422[英文](オラクル)
http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html
・Javaのダウンロード(オラクル)
http://java.com/ja/download/
・Java のバージョンの確認(オラクル)
http://www.java.com/ja/download/installed.jsp
・JRE / JDK バージョン7のゼロデイ脆弱性(IBM Tokyo SOC)
https://www.ibm.com/connections/blogs/tokyo-soc/entry/cve-2013-0422?lang=ja