オラクルは日曜日にJava 7アップデート11(Java 7u11)をリリースしました。これは、米国コンピュータ緊急事態対策チーム(US-CERT)が、深刻かつ未知のセキュリティ脆弱性が存在するため、ユーザーにJavaソフトウェアを無効にするよう勧告したことを受けてのことです。修正プログラムが利用可能になった後も、国土安全保障省傘下のCERTは、Javaソフトウェアの実行が「絶対に必要な」場合を除き、システム上でJavaを無効にするようユーザーに勧告しています。
[関連: Java を廃止する時期が来たか?]
CERTのセキュリティ情報によると、いわゆるゼロデイ脆弱性は、無防備な被害者のシステムに密かにマルウェアをインストールするために積極的に利用されており、Windows、Mac、Linuxユーザーに影響を与えています。この脆弱性はJava 7のバージョンに影響し、Java 6には適用されません。
Java 7u11の機能
最新バージョンのJavaユーザーにとって最大の変更点は、署名されていないJavaアプレットとWeb Startアプリケーションがすべてクリック実行になったことです。つまり、Web上でJavaを見つけるたびに、ブラウザでJavaを実行するために明示的に承認する必要があるということです。Javaはクロスプラットフォームのプログラミング言語であり、ゲームやインタラクティブチャートなどのWebコンテンツやアプリケーションでオンラインでよく使用されています。Oracleの脆弱性修正は、ブラウザでJavaを実行しているユーザーにのみ影響し、サーバー、デスクトップアプリケーション、組み込みJavaアプリケーションには適用されません。
オラクルは、ユーザーに対し、システムをできるだけ早くアップデートするよう呼びかけています。「これらの脆弱性の深刻さを考慮し、オラクルは、このセキュリティアラートで提供されるアップデートをできるだけ早く適用することを強く推奨します。」とオラクルのセキュリティアラートには記されています。
オラクルの最新のJavaの不具合により、PC攻撃手段として広く利用されているJavaを根本から書き直すべきだという声が上がっています。今回のJavaの脆弱性は、オラクルが8月下旬に3つの重大なセキュリティホールを修正するアップデートをリリースしてからほぼ5か月後に発生しました。そのうち2つは、悪意のあるハッカーによって積極的に悪用されていました。
最新のJavaアップデートはOracleのウェブサイトからダウンロードできます。CERTのアドバイスに従ってJavaを無効にしたい場合は、OracleがWindowsユーザー向けにステップバイステップの手順ガイドを提供しています。Javaが必要なのに無効にできない場合は、ComputerworldのチュートリアルでJavaを安全に使う方法をご確認ください。
Javaを無効にする方法
特定のブラウザでのみ Java を無効にしたい場合は、次の手順に従います。
Chrome:アドレスバーに「Chrome://plugins」と入力し、Enterキーを押します。Javaプラグインを探し、「無効にする」リンクをクリックします。
Firefox:左側にあるオレンジ色のFirefoxボタンをクリックし、「アドオン」を選択します。開いたページで、左側の「プラグイン」を選択します。Javaプラットフォームプラグインを探し、無効化ボタンをクリックします。
Internet Explorer: ChromeやFirefoxと同じようにInternet ExplorerでJavaを無効にすることはできません。代わりに、Oracleのステップバイステップのガイドに従って、システム全体でJavaを無効にしてください。
