アップルコンピュータは17日、「Java 2 Standard Edition(J2SE)5.0 Release 4」の配布を開始した。脆弱性に対処したほか、互換性の改善がなされているという。Mac OS X 10.4.5以降に対応しており、同OSのソフトウェア・アップデート機能経由または同社ダウンロードサイトで入手できる。
J2SE 5.0 Release 4で対処した大きな脆弱性は2件ある。1つは、「Java Web Start」の脆弱性が原因で、信頼されていないJavaアプリケーションによって上位の権限を取得される恐れがあるというもの。2つ目は、Java実行環境における“reflection”APIに関連した脆弱性により、信頼されていないJavaアプレットによって同様に上位の権限を取得される恐れがあるというもの。J2SE 5.0 Release 4では、J2SEのバージョンを、脆弱性の影響を受けにくい「1.5.0_06」にすることで対処している。
これらの脆弱性について仏FrSIRTでは、深刻度を4段階中で最も高い“Critical”とレーティングしている。すでに米Sun Microsystemsは2月7日、Java実行環境「Sun Java Runtime Environment(JRE)」に同様の脆弱性があるとして、これを修正した最新版を公開している。
J2SE 5.0 Release 4ではこのほか、Javaのインプットメソッドの処理に関するセキュリティ修正も行なった。パスワードなどのセキュアなフォームに入力した文字が、同一ウィンドウ内にある別の通常のフォームにプレーンテキストで表示される可能性があったという。
なお、J2SE 5.0 Release 4を適用後は、Java VMのデフォルトバージョンが、Java 1.4.2からJava 5.0に変更される。Java 1.4.2はインストールされた状態のままだが、アプリケーション側がJava 1.4.2を特にリクエストしない限り、J2SE 5.0で実行されるという。JavaアプリケーションやWebサイトによっては、意図しない動作が多い場合にJava 1.4.2に戻す必要もあるとして、アップルでは設定変更手順も説明している。
関連情報
■URL
J2SE 5.0 Release 4について
http://docs.info.apple.com/article.html?artnum=302983-ja
J2SE 5.0 Release 4におけるセキュリティ修正内容
http://docs.info.apple.com/article.html?artnum=303658-ja
FrSIRTのセキュリティアドバイザリ(英文)
http://www.frsirt.com/english/advisories/2006/1398
J2SE 5.0 Release 4(Intel)
http://www.apple.com/jp/ftp-info/reference/j2se50release4intel.html
J2SE 5.0 Release 4(PPC)
http://www.apple.com/jp/ftp-info/reference/j2se50release4ppc.html
■関連記事
・ Javaランタイムに7件の脆弱性、最新版へのアップデートを(2006/02/09)
・ Mac OS X用Javaに脆弱性、アップルが修正版を公開(2005/09/14)
( 永沢 茂 )
2006/04/19 18:44
- ページの先頭へ-
|