2013年1月11日、JVN(Japan Vulnerability Notes)で、「JVNTA13-010A:緊急 Oracle Java 7 に脆弱性 [2013/01/11 11:20]」が発信されました。
概要は、
Oracle が提供する Java 7 には、任意のコードが実行可能な脆弱性が存在します。
影響を受けるシステムは、
以下の製品を含む、全ての Java Platform Standard Edition 7 (1.7, 1.7.0) を使用しているウェブブラウザ等のシステム
?Java Platform Standard Edition 7 (Java SE 7)
?Java SE Development Kit (JDK 7)
?Java SE Runtime Environment (JRE 7)
指摘の脆弱性は、
Java 7 には、Java のサンドボックスを回避され、任意のコードが実行可能な脆弱性が存在する。
即ち、ゲームサイトや動画サイトなどで悪意のあるプログラムが埋め込まれたウェブサイトを閲覧すると、パソコンがウイルスに感染して遠隔操作されたり、パスワードなどが盗まれたりする危険があるという。
セキュリティーの専門家は、対策として以下を勧めている。
(1)ウイルス対策ソフトを、Javaの弱点を突くウイルスが検出できる最新版にする
(2)Javaを無効にするか削除する
この場合、動画関係を中心にパソコンが期待通りの動作をしなくなる可能性がある
米政府は、ウェブサイトhttp://goo.gl/QclF5に、無効にする方法が公開されているとも発表。
このURLでアクセスすると、java.comのサイトに接続されます。
なお、java6以前が安全かどうかは確認されていないとのことです。
何れにしても、Oracleから早急にパッチが提供されることを切望するものです。
<余談>
2012年8月にJava7update7でも同様の脆弱性(任意のOSコマンドが遠隔実行可能)があることが判明し、これを修正するためのパッチおよびこれを適用したアップデート版パッケージが同月30日に緊急リリースされました。
因みに、私はインターネットでのゲームなどJavaを必要とするサイトにアクセスしないので、昨年10月に購入した、現在使用しているPCにはJavaを入れていませんが、使用に不自由はありません。
【関係サイト】
○JVN(Japan Vulnerability Notes)
○java.com(Javaを無効にする方法)
【関連記事】
○JAVA6からJAVA7へのバージョンアップ
○Adobe Reader、Flash Player、JAVA/プラグイン・ソフトのバージョン確認とUpdate
