ニュース
Java SEのクリティカルパッチ公開、40件の脆弱性を修正
(2013/6/19 12:33)
米Oracleは18日、Java SEの脆弱性を修正するクリティカルパッチアップデート(CPU)を公開した。ユーザーに対してできるだけ早く適用するよう呼び掛けている。
今回公開されたCPUは「Java SE 7 Update 25」(バージョン1.7.0_25)。新たに40件の脆弱性を修正しており、そのうち37件は認証なしでリモートから悪用される恐れのあるものだという。
40件のうち34件は、クライアント版のみに影響するものだが、CVSSによる危険度スコアが最も高い「10.0」と評価された脆弱性が11件含まれている。
また、4件はクライアント版とサーバー版の両方に影響する脆弱性で、CVSSスコアが最も高いものが「7.5」となっている。
さらに1件は、Javaインストーラーに影響するもので、ローカルからのみ悪用可能なものだという。
残る1件は、「Javadoc」ツールおよび同ツールで作成したドキュメントが影響を受けるもの。Oracleによると、Javadocのバージョン1.5以降で作成したHTMLページにはフレームインジェクションが可能な脆弱性があり、攻撃者がこれを悪用することで、閲覧したユーザーを悪意のあるウェブページにリダイレクトさせることが可能になるという。今回のクリティカルパッチにより、こうした脆弱なページを作成しないようにJavadocを修正。加えて、作成済みのHTMLファイルを修正する「Java API Documentation Updater Tool」を用意した。