Oracleが「Java SE 7 Update 11」リリース、ゼロデイ脆弱性に対処

　米Oracleは13日、「Java Platform, Standard Edition 7（Java SE 7）」のセキュリティアップデートとなる「Java SE 7 Update 11」（バージョン1.7.0_11）をリリースした。すでに攻撃への悪用などが確認されていた脆弱性に対処しており、Oracleではユーザーに対してできる限り早くアップデーすることを強く推奨している。

　脆弱性の影響を受けるのは、実行環境のJava SE Runtime Environment（JRE 7）および開発環境のJava SE Development Kit（JDK 7）の「Update 10」およびそれ以前。なお、JRE/JDK 6/5.0/1.4.2とJava SE Embedded JREは影響を受けないとしている。

　JVN（Japan Vulnerability Notes）によると、この脆弱性は、Javaのサンドボックスを回避され、任意のコードが実行される可能性があるもの。細工を施されたJavaアプレットが埋め込まれたウェブページや、Java Network Launching Protocol（JNLP）ファイルを開くことで、任意のコードが実行される可能性があるという。すでに攻撃に悪用されていることや、攻撃ツールキットにも組み込まれていること、悪用コードも一般に公開されていることから、US-CERTなどが注意を呼び掛けていた。

　今回リリースされたJava SE 7 Update 11では、US-CERTなどが言及していた「CVE-2013-0422」の脆弱性のほか、「CVE-2012-3174」の脆弱性もあわせて修正している。いずれも、危険度を評価するCVSSのベーススコアが最高点である「10.0」となっている。

　Oracleによると、これらの脆弱性は、ウェブブラウザー上で動作するJavaに影響するもので、サーバー上のJavaやスタンドアローンのデスクトップJavaアプリケーション、組み込みJavaアプリケーションには影響しないとしている。

　Java SE 7 Update 11ではこれらの脆弱性の修正のほか、Javaのセキュリティレベルのデフォルト設定を、従来の「中」から「高」へ変更した。未署名または自己署名のJavaアプレットやJava Web Startアプリケーションを実行しようとする際には常にユーザーに確認を求めるようになるため、悪意のあるサイトなどを訪問した際にアプレットが実行される前に通知が表示され、悪意のあるアプレットの実行を拒否できるようになるとしている。