ニュース

Java SEのクリティカルパッチ公開、40件の脆弱性を修正

 米Oracleは18日、Java SEの脆弱性を修正するクリティカルパッチアップデート(CPU)を公開した。ユーザーに対してできるだけ早く適用するよう呼び掛けている。

 今回公開されたCPUは「Java SE 7 Update 25」(バージョン1.7.0_25)。新たに40件の脆弱性を修正しており、そのうち37件は認証なしでリモートから悪用される恐れのあるものだという。

 40件のうち34件は、クライアント版のみに影響するものだが、CVSSによる危険度スコアが最も高い「10.0」と評価された脆弱性が11件含まれている。

 また、4件はクライアント版とサーバー版の両方に影響する脆弱性で、CVSSスコアが最も高いものが「7.5」となっている。

 さらに1件は、Javaインストーラーに影響するもので、ローカルからのみ悪用可能なものだという。

 残る1件は、「Javadoc」ツールおよび同ツールで作成したドキュメントが影響を受けるもの。Oracleによると、Javadocのバージョン1.5以降で作成したHTMLページにはフレームインジェクションが可能な脆弱性があり、攻撃者がこれを悪用することで、閲覧したユーザーを悪意のあるウェブページにリダイレクトさせることが可能になるという。今回のクリティカルパッチにより、こうした脆弱なページを作成しないようにJavadocを修正。加えて、作成済みのHTMLファイルを修正する「Java API Documentation Updater Tool」を用意した。

永沢 茂