PR

 JPCERTコーディネーションセンターと情報処理推進機構(IPA)が共同で運営する脆弱性関連情報サイト「JVN」は2013年1月18日、米Oracleが提供するJava実行環境「Oracle Java 7」のセキュリティ脆弱性情報を更新した。

 先日Oracleからリリースされたアップデートを適用しても、一部脆弱性が修正されないまま残る可能性を指摘し、改めて注意を喚起。Java利用の必要がない場合は、WebブラウザーにおけるJavaプラグインの無効化を推奨している。

 この脆弱性を放置した場合、インターネット越しにパソコンで任意のコードが実行される可能性がある。攻撃用コードが既に出回っており、攻撃も観測されているという。

 JVNは1月15日時点では、「Java 7 Update 11(7u11)」へのアップデート(関連記事)を推奨していた。今回さらに踏み込んだ表現で、「7u11へアップデートしても、本脆弱性の一部が未修正であるとの情報を確認している」「Webブラウザー上でJavaを実行することが必要でない限り、WebブラウザーのJavaプラグインを無効にすることで、脆弱性の影響を緩和できる」といった文言を追加した。

 JVNは発表文書の中で、Safari/Firefox/Chrome/Internet Explorerの各WebブラウザーでJavaを無効化する方法へのリンクを示している。ここで紹介されているInternet Explorerでの無効化方法はかなり複雑であるため、注意を要する。Oracle自身は、「Javaコントロールパネル」を利用して比較的簡単な操作で無効化する方法も示している。

 JVNを運営するJPCERTコーディネーションセンターは、「7u11」がリリースされた時点におけるITproの取材に対し、「我々の検証では、7u11へのアップデートを行った環境において、広く被害をもたらしている攻撃コードが動作しないことを確認している」と明言していた。

 その一方で、「今回の修正が不十分であり、その脆弱性を狙った新しい攻撃が発生する可能性は十分にある。もし日本国内で被害が発生する可能性があると判断すれば、再度、注意喚起を発行する予定だ」とし、再度の注意喚起に含みを持たせていた。

[JVNの発表文書]