ニュース

Oracle、「Java SE」の定例セキュリティパッチ公開、脆弱性5件を追加修正

 米Oracleは19日、「Java Platform, Standard Edition(Java SE)」のクリティカルパッチアップデート(CPU)を公開した。深刻な脆弱性の修正が含まれており、すでにこれを悪用した攻撃も確認されているとして、Oracleではユーザーに対してできる限り早く適用するよう強く推奨している。

 今回公開されたのは「Java SE 7 Update 15」(バージョン1.7.0_15)で、実行環境の「Java SE Runtime Environment(JRE 7)」および開発環境の「Java SE Development Kit(JDK 7)」がある。

 OracleではJavaの定例アップデートを19日に予定していたが、Javaの未修正の脆弱性を悪用する攻撃が確認されたため、前倒しで2月1日に「Java 7 Update 13」を公開していた。しかし、予定を早めて公開することになったため、数件の脆弱性修正が含まれておらず、当初の予定通り、今回改めてアップデートを公開した。

 Java SE 7 Update 15は、Java SE 7 Update 13で修正した計50件の脆弱性に加えて、5件の脆弱性修正を追加した累積パッチとなる。5件のうち4件がJavaのクライアント側実装に影響するもので、JavaアプレットやJava Web Startを通じて悪用される恐れがある。

 Java 7 Update 13では、CVSSによる危険度評価で最高スコアとなる「10.0」とレーティングされた脆弱性が26件含まれていたが、Java SE 7 Update 15で追加修正された脆弱性の中にも「10.0」となっているものが3件含まれている。

 なお、旧バージョンである「Java SE 6」についても今回、脆弱性を修正した「Java SE 6 Update 41」(バージョン1.7.0_41)が公開されたが、Java SE 6は2月にサポートが終了となることがアナウンスされているため注意する必要がある。

 Oracleでは、次回のJava SEのCPUを4月16日に予定していることも明らかにした。これまで予定されていた6月18日、10月15日、2014年1月14日の前に追加されるかたちとなる。

(永沢 茂)