ニュース

Javaの修正は不完全、不要な場合はJavaを無効に~トレンドマイクロが注意喚起

 「Java 7」に新たな脆弱性を悪用する攻撃が発見され、米Oracleが13日にアップデート版の「Java 7 Update 11」を公開した問題について、脆弱性は完全に修正されていないとして、引き続きウェブブラウザー上ではJavaを無効にすることをセキュリティベンダーなどがユーザーに推奨している。

 Java 7については、新たな脆弱性を悪用する攻撃が確認され、攻撃ツール作成用のキットにもこの脆弱性の悪用コードが組み込まれていたことなどから、セキュリティベンダー各社がウェブブラウザー上でJavaを無効にすることを呼び掛けた。13日には、Oracleがアップデート版となる「Java 7 Update 11」を公開し、この問題に対応したが、脆弱性は完全には修正されていないようだとして、米US-CERTなどでは引き続きJavaを無効にすることを推奨している。

 トレンドマイクロでは、解析を行った結果、修正プログラムが完全な修正ではないことを確認したと発表。今回問題となった脆弱性「CVE-2013-0422」では2つのメソッドに問題が存在するが、修正プログラムはこのうち1つのメソッドの問題だけを修正するもので、もう1つの問題は修正されていないという。

 既に確認されている攻撃は今回のアップデートで防ぐことができるが、今回残されている問題と組み合わせることが可能なバグを誰かが見付けた場合には、その攻撃は防ぐことができないとして、Javaは依然として大きなリスクを抱えているとしている。

 トレンドマイクロではユーザーに対して、Javaが本当に必要でない場合にはアンインストールすることや、アプリケーションに必要なためにJavaをインストールしている場合にはブラウザー上ではJavaを無効にする、Javaを使用するウェブサイトを閲覧する場合にはいつも使用するブラウザーとは異なるブラウザーを使用し、通常使用するブラウザーではJavaを無効にするといった対策を推奨している。

(三柳 英樹)