オラクルでは14日、ゼロデイ攻撃が行われていた深刻な脆弱性に対処した、JRE(Java Runtime Environment:Java実行環境)の最新版「JRE 7 Update 11」を公開したが、この最新版にまだ脆弱性が残っているとして、セキュリティ関連機関がJREの無効化を呼びかけている。
JREは、Java(ジャバ)というプログラミング言語で書かれたアプリケーションやアプレット(ブラウザ内で動くアプリケーション)を実行するために必要なソフトウェアで、インストールされているパソコンも多い。
JREの脆弱性は、パソコンをウイルスに感染させる手段としてしばしば使われる。最新のJRE 7 Update 11も、何者かが以前のバージョンに脆弱性があることを発見し、これを悪用する攻撃が始まって、攻撃コードも出回ってしまったため、緊急に公開されたものだ。オラクルは最新版で2件の脆弱性を修正したと発表しており、今回の攻撃に使われていたコードは、最新版に対しては無効だ。
この最新版をめぐり、セキュリティ企業のImmunityは米国時間14日付のブログで、オラクルが修正したとしている脆弱性2件のうち、1件は未修整のままだと指摘している。今回使われた攻撃コードは脆弱性2件を利用しており、そのうち1件を修正したことによりとりあえず無効となった。しかし同ブログは、Javaについて十分な知識を持った攻撃者が、今回修正された脆弱性に代わる別の脆弱性を見つければ、容易に攻撃を再開できると伝えている。
米国のセキュリティ関連機関CERT(Computer Emergency Response Team)は、Immunityの上記指摘を紹介した上で、JREを最新版に更新後も、WebブラウザでJavaを無効にしておくよう勧めている。JRE 7 Update 10以降では、コントロールパネルの「Javaコントロール・パネル」を開き、「セキュリティ」タブで「ブラウザでJavaコンテンツを有効にする」欄のチェックを外すと、無効化できる。簡単に有効/無効を切り替えられるので、普段は無効にしておき、どうしても必要な場合のみ、有効化することをお勧めする。
(2013/01/16 ネットセキュリティニュース)
【関連URL】
・Confirmed: Java only fixed one of the two bugs.[英文](Immunity Products)
http://immunityproducts.blogspot.ca/2013/01/confirmed-java-only-fixed-one-of-two.html
・VU#625617 Java 7 fails to restrict access to privileged code[英文](CERT Vulnerability Note)
http://www.kb.cert.org/vuls/id/625617
・WebブラウザでJavaを無効にするにはどうすればよいですか。(オラクル)
http://www.java.com/ja/download/help/disable_browser.xml