ニュース

Oracleが定例セキュリティアップデートを公開、Javaは25件の脆弱性を修正

 米Oracleは14日、データベース製品やJavaなどのOracle製品に関する定例のセキュリティアップデート(Oracle Critical Patch Update)を公開した。

 Oracleでは、四半期ごとに定例のセキュリティアップデートを提供している。今回のアップデートでは、Oracle Database、Java、Solaris、VirtualBox、MySQL Serverなど、各種製品に関する計154件の脆弱性を修正する。

 Java関連では、最新版となる「Java SE 7 Update 71」および「Java SE 8 Update 25」を公開。計25件の脆弱性を修正しており、遠隔の第三者がこれらの脆弱性を悪用することで、Javaを不正終了させたり、任意のコードを実行させたりする可能性がある。

 修正した25件の脆弱性のうち、22件はリモートから認証なしに攻撃が可能となっており、1件については共通脆弱性評価システム(CVSS v2)の基本値が最も高い「10.0」とされている。Oracleではユーザーに対して、できるだけ早急にアップデートを行うよう推奨している。

 なお、Java SE 7については、セキュリティ以外の修正も含まれる「Java SE 7 Update 72」も公開されているが、特別な問題がない場合には「Java SE 7 Update 71」を使用することが推奨されている。

 また、今回のアップデートから、「java.com」のページで配布されるJavaランタイムが、Java 7からJava 8となった。Oracleでは、2015年上半期にはJava 7からJava 8への自動アップデートを計画しているという。

 Oracleの次回の定例セキュリティアップデートは、米国時間2015年1月20日に予定されている。

三柳 英樹