OS Xでは、Javaがもう1つ必要に？　Appleがセキュリティ策強化

　Appleが16日にリリースした「Java for OS X 2012-006」では、「Java SE 6」を最新バージョンの「1.6.0_37」に更新して多数の脆弱性を修正する一方で、同社が配布したJavaアプレットプラグインをすべてのブラウザーから削除するという。

　これらのアップデートを適用後、Javaアプレットがあるウェブページを表示すると「Missing plug-in」と表示される。Javaアプレットを使用したい場合は、その領域をクリックしてOracleのサイトにアクセスし、Oracleが配布している「Java SE 7」の最新バージョン「1.7.0_09」をダウンロードする必要がある。

　Mac向けのJavaは、以前はAppleから配布していたが、8月中旬に公開されたバージョン「1.7.0_06」からはOracleが直接配布している。Windowsなど他のOS向けのJavaが脆弱性の修正を行ってから、それがMac版に反映されるまでにタイムラグがあり、この間をマルウェア「Flashback」に狙われてMacで大規模感染に発展した事例もあった。

　今回のJava for OS X 2012-006のアップデートでは、ブラウザー用Javaプラグインのサポートを外し、結果としてOracle版の使用をユーザーに積極的に促すことになる。セキュリティの観点からの措置と言えるが、OS Xユーザーにとっては少しややこしい状況になるかもしれないことを、英Sophosの公式ブログで指摘している。

　すなわち、Apple提供のJava SE 6と並行して、ブラウザーでJavaアプレットを使用するためにOracleからJava SE 7のランタイムもインストールしなければならなくなるという。OracleがMac OS X向けに配布しているのはJava SE 7のみであり、Appleが提供しているJava SE 6とバージョンが異なる。

　Sophosでは、こうした状況になるとしても、Javaのアップデートはすぐに行うべきだと述べている。今回のアップデートでは、複数の危険な脆弱性が修正されている。

　なお、Mac OS X 10.6.8以降（Snow Leopard）に対応する「Java for Mac OS X 10.6 Update 11」も16日にリリースされている。こちらでは、ブラウザー設定を変更することで、Javaアプレットの自動実行を無効化する方法がとられている（すでに「同Update 9」より導入されている機能）。ユーザーは、ウェブページ上に表示される「Inactive plug-in」という部分をクリックすることで再びJavaアプレットを有効化できるが、一定期間Javaアプレットが使われなかった場合には自動的に無効化される仕組み。