画面●緊急リリースされた「Java Version 7 Update 13」のダウンロード画面
画面●緊急リリースされた「Java Version 7 Update 13」のダウンロード画面
[画像のクリックで拡大表示]

 米Oracleは現地時間2013年2月1日、Java実行環境「Java 7」のアップデート版である「Java Version 7 Update 13」をリリースした(画面)。日本を含む各国でダウンロードしてインストールできる。

 発表文書の冒頭で、米Oracleは「2月19日にアップデートをリリースする予定だったが、既存のセキュリティ脆弱性を悪用した攻撃が観測されているため、リリースを早めることにした」と明記し、異例の前倒しリリースであることを強調。早期にアップデートを適用するよう呼びかけている。

 Update 13は、これまでに見つかった複数のセキュリティ脆弱性に対処するための修正プログラムを含んでいる。前回のJavaアップデート(Update 11)では、それより前から存在した脆弱性(コード番号CVE-2013-0422)への対応が不十分という指摘があり、Java自体の無効化を推奨する動きもあった(関連記事)。Oracleの説明によると、Update 13には、この脆弱性に関する修正も含まれている。

Java 6のサポート終了にも注意

 JPCERTコーディネーションセンター(JPCERT/CC)も2月4日、Oracle Javaに関して注意喚起する文書を出した。「Oracle社が提供する修正済みソフトウエアへアップデートすることをお勧めします」として、アップデートを呼びかけている。アップデートを適用しないままで利用した場合、Javaを不正終了させたり、インターネット経由で任意のコードを実行されたりする可能性があるとしている。

 なお、旧バージョンである「Java 6」のアップデートも同時にリリースされており、これを利用している場合はアップデート適用が推奨される。ただし、Oracleはこの2月をもってJava 6のサポートを終了する予定であることから、JPCERT/CCは「使用しているアプリケーションの対応状況を踏まえたうえで、Java 7への移行をご検討ください」としている。

 Javaを巡っては、このところ脆弱性を悪用したサイバー攻撃事案が相次いでいる。米Twitter(関連記事)や、米New York Times、Wall Street Journalなど(関連記事)が被害に遭ったサイバー攻撃でも、Javaの脆弱性が関係している可能性が指摘されている。

 Twitter日本法人は2月2日に発表した文書で「米国国土安全保障省のアドバイスによりWebブラウザーではJavaをご利用されないことをお勧めします」と呼びかけている。

[米Oracleの発表文書(英語)]
[JPCERTコーディネーションセンターの発表文書]
[Twitter日本法人のブログ]