PR

Javaに未対応の脆弱性。自動起動を停止すること

 ポーランドのセキュリティベンダーであるSecurity Explorationsは2012年9月25日、Java SEにこれまで指摘されてこなかった脆弱性があるとセキュリティメーリングリストFull Disclosureに発表した。Java SE 5/6/7には、Webブラウザー内の利用でセキュリティを確保するサンドボックスに問題があり、10億人ものJava利用者に影響をもたらすと同社は指摘している。

 該当の脆弱性はすでにJavaを配布するオラクルに通知されているが、10月1日の時点で対応策は公開されていない。

 米国のセキュリティ機関SANS Internet Storm Centerは、現状まだこの脆弱性は悪用されてはいないものの、対応が取れるまでJavaの利用を控えるように促し、4点を奨励している

  • 必要がなければJavaをアンインストールすること。
  • Javaが必要であれば、Webブラウザー内で自動起動しないようにすること。
  • Javaを常に最新のバージョンにアップデートしておくこと。
  • できるだけ複数のJavaのバージョンをインストールしないこと。

 Chromeを利用している場合は、初期設定ではJavaは自動起動しないようになっている。無効化するにはアドレス欄で "chrome://plugins/"と指定し、Javaの項目で「無効にする」をクリックする。

Internet Explorerの脆弱性で定例外アップデート

 マイクロソフトは2012年9月22日、Internet Explorer(IE 9/8/7/6)の深刻な脆弱性5件を修正するセキュリティ更新プログラム(MS12-063)を定例外に公開した。深刻度は「緊急」である。この脆弱性が悪用された場合、Webページの閲覧だけで遠隔から命令が実行される危険性がある。JVNもこの脆弱性を「緊急」としJVNVU#480095、JVNTA12-262A、JVNTA12-265Aで扱っている(3件の対象は同じ)。

 利用しているWindowsで「自動更新」の機能が有効であれば、対応のコンポーネント(KB2744842)は自動的にダウンロードおよびインストールされる。すでに適用されているかについては、Windows Updateを起動し、「更新履歴の表示」で確認できる。Window 7であれば、「コントロールパネル/システムとセキュリティ/Windows Update/更新履歴の表示」になる。

Windows 7の更新履歴の確認。
Windows 7の更新履歴の確認。
[画像のクリックで拡大表示]