Java SEのクリティカルパッチ公開、40件の脆弱性を修正

　米Oracleは18日、Java SEの脆弱性を修正するクリティカルパッチアップデート（CPU）を公開した。ユーザーに対してできるだけ早く適用するよう呼び掛けている。

　今回公開されたCPUは「Java SE 7 Update 25」（バージョン1.7.0_25）。新たに40件の脆弱性を修正しており、そのうち37件は認証なしでリモートから悪用される恐れのあるものだという。

　40件のうち34件は、クライアント版のみに影響するものだが、CVSSによる危険度スコアが最も高い「10.0」と評価された脆弱性が11件含まれている。

　また、4件はクライアント版とサーバー版の両方に影響する脆弱性で、CVSSスコアが最も高いものが「7.5」となっている。

　さらに1件は、Javaインストーラーに影響するもので、ローカルからのみ悪用可能なものだという。

　残る1件は、「Javadoc」ツールおよび同ツールで作成したドキュメントが影響を受けるもの。Oracleによると、Javadocのバージョン1.5以降で作成したHTMLページにはフレームインジェクションが可能な脆弱性があり、攻撃者がこれを悪用することで、閲覧したユーザーを悪意のあるウェブページにリダイレクトさせることが可能になるという。今回のクリティカルパッチにより、こうした脆弱なページを作成しないようにJavadocを修正。加えて、作成済みのHTMLファイルを修正する「Java API Documentation Updater Tool」を用意した。