ニュース

Oracle、JavaなどOracle製品の定例セキュリティアップデート公開、Java関連は24件の脆弱性を修正

 米Oracleは、Javaやデータベース関連製品など、同社製品に関する定例のセキュリティアップデート(Critical Patch Update)を公開した。

 Oracleでは、四半期ごとにセキュリティアップデートを提供している。今回、Database Server、Database Mobile/Lite、Fusion Middleware、Java、Solaris、VirtualBox、MySQLなど、CVE番号ベースで合計154件の修正を行っている。

 Java関連では、CVE番号ベースで24件の脆弱性を修正。このうち7件は、共通脆弱性評価システム(CVSS ver.2.0)の基本値が最も高い「10.0」とされており、危険度の高い脆弱性となっている。「Java SE JDK/JRE 8 Update」では、クリティカルパッチアップデート(8u65)と同時に、複数のバグのパッチセットアップデート(8u66)が公開されている。8u66には8u65の内容に加え、脆弱性以外の修正も含まれている。

 JPCERT/CCやIPAによると、Javaプログラムを実行するためのソフトウェア環境であるJREには複数の脆弱性が存在し、第三者がJavaを不正終了させたり、任意のコードを実行させたりする可能性があるとしている。

(山川 晶之)