• テクノロジー業界
• 安全
• ジャワ
• オラクル
• オラクル社

二度騙されるな: Appleが最新のゼロデイ脆弱性に対するJavaアップデートをリリース

Java ブラウザ プラグインにおける新たなゼロデイ脆弱性に関する多数の報告を受けて、Oracle は本日、Apple が Java SE 6 をバージョン 1.6.0_43 にアップデートするのに合わせて、Java 7 の緊急アップデートをリリースしました。

本日、OracleはセキュリティアラートCVE-2013-1493を公開しました。これは、Webブラウザで動作するJavaに影響を与える2つの脆弱性（CVE-2013-1493およびCVE-2013-0809）に対処するものです。これらの脆弱性のうち1つ（CVE-2013-1493）は、最近、攻撃者によって積極的に悪用され、McRat実行ファイルをユーザーのマシンに悪意を持ってインストールする事例が報告されています。どちらの脆弱性もJava SEの2Dコンポーネントに影響を与えます。これらの脆弱性は、サーバー上で動作するJava、スタンドアロンのJavaデスクトップアプリケーション、または組み込みJavaアプリケーションには適用されません。また、Oracleのサーバーベースソフトウェアにも影響はありません。これらの脆弱性のCVSS基本スコアはそれぞれ10.0です。

セキュリティ企業FireEyeの研究者は先週、新たなJavaのゼロデイ脆弱性についてユーザーに警告し、Oracleがこの問題に対処するまでJavaを無効にすることを推奨しました。Oracleは本日、この脆弱性について2月1日から認識していたものの、前回のリリースでは修正パッチを配信していなかったと発表しました。

脆弱性 CVE-2013-1493 が積極的に悪用されているという報告が最近寄せられましたが、このバグはもともと 2013 年 2 月 1 日に Oracle に報告されており^、残念ながらJava SE の重要なパッチ アップデートの 2 月 19^日のリリースに含めるには遅すぎました。

同社は、2013年4月16日のJava SEクリティカルパッチアップデートにCVE-2013-1493の修正を含める予定でした（なお、オラクルは先日、2013年6月と10月に予定されていたJava SEセキュリティリリースに加えて、この日に追加のJava SEセキュリティリリースを提供する意向を発表しました）。しかし、CVE-2013-1493の積極的な悪用が報告されていることを考慮し、すべてのJava SEユーザーのセキュリティ体制を維持するために、オラクルはこのセキュリティアラートを通じて、この脆弱性と密接に関連する別のバグに対する修正を可能な限り速やかにリリースすることを決定しました。