4月20日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
Java SE 7 Update 55リリース(2014/04/16)
Java SE 7 Update 55には、Java SE、JRockit、Java SE Embedded、JavaFXコンポーネントに関する計37件のセキュリティアップデートが含まれています。認証操作が不要でリモートからの攻撃を許してしまう脆弱性の件数は計35件です。また、Caller-Allowable-Codebase 属性の値としてアスタリスク(*)のみを指定すると、JavaScriptコードからRIA(Rich Internet Applications;JavaアプレットやJava Web Startアプリケーションのこと)が呼び出された場合、セキュリティ警告が表示されるようになりました。
なお、Java SE 6に関しては、2013年2月の公式アップデート終了後も脆弱性が報告されていますので(図1)、Java 7へのアップデートを進める必要があります。
図1●オラクルから報告されているJavaの脆弱性の件数
- オラクル:Oracle Critical Patch Update Advisory - April 2014
- オラクル:Java SE 7 Update 55 リリースノート
- オラクル:Java 7リリースのハイライトJava 7 Update 55(7u55)
