Hitach Incident Response Team

 4月21日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Java SE 7 Update 21、Java SE 6 Update 45リリース(2013/04/16)

 Java SE 7 Update 21では、Update 17並びにそれ以前に存在する42件の脆弱性を解決しています。影響を受けるコンポーネントは、2D、AWT(Abstract Windowing Tools)、Beans、Deployment、ホットスポット、ImageIO、インストール、JAX-WS(Java API for XML Web Services)、JAXP(Java API for XML Processing)、JMX(Java Management Extensions)、JavaFX、ライブラリー、ネットワーク、RMI(Remote Method Invocation)です。クライアントとサーバーに影響のある脆弱性は1件(CVE-2013-1537)で、該当するコンポーネントはRMIです。また、このバージョンから、ブラウザー経由で起動されるJavaアプレットおよびアプリケーションについて、実行前にユーザーの確認を促すダイアログが表示されるようになりました(図1)。

 Java SE 6 Update 45では、Update 43並びにそれ以前に存在する25件の脆弱性を解決しています。なお、オラクルでは2013年2月をJava SE 6のパブリックアップデートの終了時期であるとしていることから、Java SE 7系へのアップグレードを推奨しています。

図1●ユーザーの確認を促すダイアログの例
[画像のクリックで拡大表示]

米アップル製品に複数の脆弱性

■Java for OS X、Java for Mac OS Xセキュリティアップデート(2013/04/16)

 Java SE 6 Update 45リリースに合わせて、セキュリティアップデートJava for OS X 2013-003、Java for Mac OS X 10.6 Update 15がリリースされました。このアップデートでは、Java 1.6をバージョン1.6.0_45に更新し、約20件の脆弱性を解決しています。

■Safari 6.0.4リリース(2013/04/16)

 Safari 6.0.4では、WebKitコンポーネントのSVGファイルの処理に存在する任意のコード実行やサービス拒否攻撃を許してしまう脆弱性(CVE-2013-0912)を解決しています。

オラクル2013年4月の四半期セキュリティアップデート(2013/04/16)

 Critical Patch Update - April 2013には、Oracle Database Server系4件、Oracle Fusion Middleware系29件、Oracle E-Business Suite系6件、Oracle Supply Chain Products Suite系3件、Oracle PeopleSoft系11件、Oracle Siebel CRM系8件、Oracle Industry Applications系3件、Oracle Financial Services Software系18件、Oracle Primavera Products Suite系2件、Oracle and Sun Systems Products Suite系16件、Oracle Sun Middleware Products系2件、Oracle MySQL系25件、Oracle Support Tools系1件、計128件のセキュリティアップデートが含まれています(図2)。認証操作が不要でリモートからの攻撃を許してしまう脆弱性の件数で、計47件となっています。

図2●製品系列別の四半期セキュリティアップデート件数の推移
[画像のクリックで拡大表示]