ニュース

Oracle、非常に深刻なゼロデイ脆弱性を修正した「Java 7 update 17」を公開

ユーザー名やパスワードなしでシステムを乗っ取られる危険性

 米Oracle Corporationは4日(現地時間)、「Java Runtime Environment(以下、JRE)」および「Java Development Kit(以下、JDK)」の最新版v7 Update 17を公開した。最新版の変更点は、“CVE-2013-1493”として報告されているゼロデイ脆弱性と“CVE-2013-0809”として報告されている脆弱性が修正されたこと。“CVE-2013-1493”は2日にSecuniaでも公表されていた。

 Secuniaでは“CVE-2013-1493”脆弱性の深刻度をもっとも高い“Extremely critical”に分類し、注意を呼びかけていた。Oracleによるとこれらの脆弱性を利用することで、ユーザー名やパスワードを必要とせずにネットワーク経由でシステムを乗っ取ることが可能になるという。Oracleはできる限り早くアップデートを行うことを強く推奨している。

 Oracleによると、同脆弱性は4月16日に公開される予定のアップデートで修正されるはずだったが、攻撃が開始されたというレポートがあったため修正版をリリースすることになったとのこと。また、次回のアップデート予定は4月16日で変更ないという。

 そのほか、旧バージョンとなる「JRE」「JDK」のv6 update 41にも同様の脆弱性が存在したが、同日公開された最新版v6 Update 43で修正されている。なお、「JRE」「JDK」v6シリーズの公式アップデートの終了予定は2013年2月となっており、今後はアップデートが提供されないものと思われる。

 「JRE」「JDK」は、Windows XP/Vista/Server 2008/7/8および64bit版のXP/Vista/Server 2008/Server 2008 R2/7/8などに対応するフリーソフトで、現在同社のWebサイトからダウンロードできる。

ソフトウェア情報

「Java Runtime Environment(JRE)」
【著作権者】
Oracle Corporation
【対応OS】
Windows XP/Vista/Server 2008/7/8/XP x64/Vista x64/Server 2008 x64/Server 2008 R2 x64/7 x64/8 x64など
【ソフト種別】
フリーソフト
【バージョン】
7 Update 17(13/03/04)
「Java Development Kit(JDK)」
【著作権者】
Oracle Corporation
【対応OS】
Windows XP/Vista/Server 2008/7/8/XP x64/Vista x64/Server 2008 x64/Server 2008 R2 x64/7 x64/8 x64など
【ソフト種別】
フリーソフト
【バージョン】
7 Update 17(13/03/04)

(長谷川 正太郎)