オラクルは5日、2件の深刻な脆弱性を修正した、JRE(Java Runtime Environment:Java実行環境)の最新版、JRE 7 Update 17(1.7.0_17)とJRE 6 Update 43(1.6.0_43)を公開した。この脆弱性を悪用した攻撃が発生しているので、利用者は直ちに最新版へと更新していただきたい。
最新版では、7 Update 15およびそれ以前のバージョンと、6 Update 41およびそれ以前のバージョンに影響する、2件の脆弱性が修正された。いずれも、脆弱性評価システム「CVSS」のスコアが最高値の10.0で、悪用されるとパソコンを乗っ取られるなどの深刻な被害が発生するおそれがある。
うち1件は、先週からゼロデイ攻撃での悪用が報告されており、Webサイトを閲覧するだけで、知らない間にウイルスに感染してしまう可能性がある。
JREの最新版は、アップデート機能(自動更新機能や、Javaコントロールパネルの[更新]タブの[今すぐ更新]ボタン)により入手できるほか、同社サイトから無料でダウンロードすることもできる。
なお、Mac用の最新版は、7はオラクルから、6はアップルから提供されており、アップルは同日、Mac OS X向けの「Java for OS X 2013-002」と「Java for Mac OS X v10.6 Update 13」を公開した。アップルメニューの「ソフトウェア・アップデート」で、自動的にインストールできる。
(2013/03/06 ネットセキュリティニュース)
【関連URL】
・Oracle Security Alert for CVE-2013-1493[英文](オラクル)
http://www.oracle.com/technetwork/topics/security/alert-cve-2013-1493-1915081.html
・Javaのダウンロード(オラクル)
http://java.com/ja/download/
・Java のバージョンの確認(オラクル)
http://www.java.com/ja/download/installed.jsp
・About Java for OS X 2013-002[英文](アップル)
http://support.apple.com/kb/HT5675
・About Java for Mac OS X v10.6 Update 13[英文](アップル)
http://support.apple.com/kb/HT5651
・YAJ0: Yet Another Java Zero-Day[英文](FireEye)
http://blog.fireeye.com/research/2013/02/yaj0-yet-another-java-zero-day-2.html
・Latest Java Zero-Day Shares Connections with Bit9 Security Incident[英文](Symantec)
http://www.symantec.com/connect/blogs/latest-java-zero-day-shares-connections-bit9-security-incident