米オラクルは2013年3月4日(米国時間)、Javaの実行・開発環境である「Java 7(Java SE 7)」や「Java 6(Java SE 6)」に新たな脆弱性が見つかったことを明らかにした。細工が施されたWebサイトにアクセスするだけで、パソコンを乗っ取られるなどの被害に遭う恐れがある。実際、被害が確認されている。対策は、最新版にアップデートすること。
プログラミング言語JavaのプラットフォームであるJava SE(Java Platform Standard Edition)には、危険な脆弱性が相次いで見つかり、攻撃に悪用されている。例えば、前回のアップデートが公開されたのは2月19日。それから2週間しか経過していない。
Java SEは、Javaで作成されたアプレットやアプリケーションの実行環境や開発環境のパッケージ。実行環境のJRE(Java SE Runtime Environment)と、開発環境のJDK(Java SE Development Kit)が含まれる。
今回脆弱性が確認されたのは、Java 7 Update 15(JDK/JRE 7 Update 15)およびそれ以前と、Java 6 Update 41(JDK/JRE 6 Update 41)およびそれ以前。
ユーザーに覚えがなくても、これらがパソコンにインストールされている可能性があるので要注意。JREなどはパソコンにプリインストールされている場合がある。また、別のソフトウエアをインストールした際に、同時にインストールされる場合もある。JREはWebブラウザーのプラグインとしてもインストールされる。
脆弱性のあるJREプラグインがインストールされているWebブラウザーでは、細工が施されたWebサイトにアクセスするだけでウイルスに感染する恐れなどがある。実際、悪用した攻撃が既に確認されている。メーカーによる対応策が用意される前の攻撃なので、いわゆる「ゼロデイ攻撃」である。
対策は、今回の脆弱性が修正されたJava 7 Update 17やJava 6 Update43にアップデートすること。なお、Java 6のアップデート提供は今回が最後になる。このため、現在Java 6を使っているユーザーは、Java 7に移行した方がよい。
最新版のJava 7は、オラクルのWebサイトからダウンロード可能。現在インストールされているJavaのバージョンも、同社Webサイトで確認できる。
