- テクノロジー業界
- 安全
- ジャワ
- オラクル
- オラクル社
二度騙されるな: Appleが最新のゼロデイ脆弱性に対するJavaアップデートをリリース
2013年3月4日午後2時40分(太平洋標準時)
Java ブラウザ プラグインにおける新たなゼロデイ脆弱性に関する多数の報告を受けて、Oracle は本日、Apple が Java SE 6 をバージョン 1.6.0_43 にアップデートするのに合わせて、Java 7 の緊急アップデートをリリースしました。
オラクルは本日、Webブラウザで実行されるJavaに影響を与える2つの脆弱性(CVE-2013-1493およびCVE-2013-0809)に対処するため、セキュリティアラートCVE-2013-1493を発表しました。これらの脆弱性のうち1つ(CVE-2013-1493)は、最近、攻撃者によって積極的に悪用され、McRat実行ファイルをユーザーのマシンに悪意を持ってインストールする事例が報告されています。どちらの脆弱性もJava SEの2Dコンポーネントに影響を与えます。これらの脆弱性は、サーバー上で実行されるJava、スタンドアロンのJavaデスクトップアプリケーション、または組み込みJavaアプリケーションには適用されません。また、Oracleのサーバーベースソフトウェアにも影響はありません。これらの脆弱性のCVSS基本スコアはそれぞれ10.0です。
セキュリティ企業FireEyeの研究者は先週、新たなJavaのゼロデイ脆弱性についてユーザーに警告し、Oracleがこの問題に対処するまでJavaを無効にすることを推奨しました。Oracleは本日、この脆弱性について2月1日から認識していたものの、前回のリリースでは修正パッチを配信していなかったと発表しました。
脆弱性 CVE-2013-1493 が積極的に悪用されているという報告が最近寄せられましたが、このバグはもともと 2013 年 2 月 1 日に Oracle に報告されており、残念ながらJava SE の重要なパッチ アップデートの 2 月 19日のリリースに含めるには遅すぎました。
同社は、2013年4月16日のJava SEクリティカルパッチアップデートにCVE-2013-1493の修正を含める予定でした(なお、オラクルは先日、2013年6月と10月に予定されていたJava SEセキュリティリリースに加えて、この日に追加のJava SEセキュリティリリースを提供する意向を発表しました)。しかし、CVE-2013-1493の積極的な悪用が報告されていることを考慮し、すべてのJava SEユーザーのセキュリティ体制を維持するために、オラクルはこのセキュリティアラートを通じて、この脆弱性と密接に関連する別のバグに対する修正を可能な限り速やかにリリースすることを決定しました。
- AAPL社
- アップルニュース
- テクノロジー業界
- サファリ
- マックOSX
OS X の Java ブラウザ プラグインが Java 7 へのアップデートで再び有効化
今週初めの報道によると、Appleが最近、OS X上でJava 7ブラウザプラグインを再びブロックしたとのことです。正確な理由は不明ですが、端末での回避策は不要になりました。Oracleは本日、Mac OS X向けJava 7アップデート13をリリースしました。この重要なパッチでは、Java SE製品に50以上のセキュリティ修正が加えられ、OS Xでのプラグインの再有効化も行われます。
Java SE の当初の Critical Patch Update – February 2013 は 2 月 19 日にリリースされる予定でしたが、デスクトップ ブラウザーの Java Runtime Environment (JRE) に影響を与える脆弱性の 1 つが「実際に」悪用されていることが今回の Critical Patch Update で解決されたため、Oracle はこの Critical Patch Update のリリースを早めることを決定しました。
