Oracle、非常に深刻なゼロデイ脆弱性を修正した「Java 7 update 17」を公開

　米Oracle Corporationは4日（現地時間）、「Java Runtime Environment（以下、JRE）」および「Java Development Kit（以下、JDK）」の最新版v7 Update 17を公開した。最新版の変更点は、“CVE-2013-1493”として報告されているゼロデイ脆弱性と“CVE-2013-0809”として報告されている脆弱性が修正されたこと。“CVE-2013-1493”は2日にSecuniaでも公表されていた。

　Secuniaでは“CVE-2013-1493”脆弱性の深刻度をもっとも高い“Extremely critical”に分類し、注意を呼びかけていた。Oracleによるとこれらの脆弱性を利用することで、ユーザー名やパスワードを必要とせずにネットワーク経由でシステムを乗っ取ることが可能になるという。Oracleはできる限り早くアップデートを行うことを強く推奨している。

　Oracleによると、同脆弱性は4月16日に公開される予定のアップデートで修正されるはずだったが、攻撃が開始されたというレポートがあったため修正版をリリースすることになったとのこと。また、次回のアップデート予定は4月16日で変更ないという。

　そのほか、旧バージョンとなる「JRE」「JDK」のv6 update 41にも同様の脆弱性が存在したが、同日公開された最新版v6 Update 43で修正されている。なお、「JRE」「JDK」v6シリーズの公式アップデートの終了予定は2013年2月となっており、今後はアップデートが提供されないものと思われる。

　「JRE」「JDK」は、Windows XP/Vista/Server 2008/7/8および64bit版のXP/Vista/Server 2008/Server 2008 R2/7/8などに対応するフリーソフトで、現在同社のWebサイトからダウンロードできる。