オラクルは火曜日に新たなJavaセキュリティアップデートをリリースし、Javaブラウザプラグインのゼロデイ脆弱性を悪用してコンピュータをマルウェアに感染させた最近の攻撃を受けて、将来のJavaパッチのリリースを加速する計画を発表した。
新たなアップデートであるJava 7 Update 15とJava 6 Update 41は、時間的制約によりOracleが2月1日にリリースした緊急Javaアップデートに含まれなかった5つの脆弱性に対処しています。当時、Oracleはハッカーによって積極的に悪用されていた脆弱性を修正するため、予定されていた4ヶ月ごとのJavaパッチサイクルを破りました。
火曜日のアップデートで対処された5つの脆弱性のうち4つは、デスクトップ上のJava Web StartアプリケーションやインターネットブラウザのJavaアプレットを通じて悪用される可能性があると、オラクルのソフトウェア保証担当ディレクターのエリック・モーリス氏が火曜日のブログ投稿で述べた。
これら4つの脆弱性のうち3つは、共通脆弱性評価システム(CVS)の最高評価である10を獲得しました。これは、これらの脆弱性が重大であり、Windows XPなど、Javaが管理者権限で実行されるシステムの機密性、整合性、および可用性を完全に侵害する可能性があることを意味します。LinuxやSolarisなど、Javaが管理者権限で実行されないシステムでは、影響は小さいとモーリス氏は述べています。
5 番目の脆弱性は、Java Secure Socket Extension (JSSE) のサーバー展開に影響し、セキュリティ研究者が今月初めに公開した SSL/TLS 実装に対する Lucky Thirteen 攻撃に起因します。
新しいJava 6 Update 41はOracleのウェブサイトからダウンロードできますが、Java.comからは入手できないため、手動で入手する必要があります。Java 6インストールの更新機能により、ユーザーはJava 7 Update 15のダウンロードとインストールを促されます。
これは Oracle の計画的な動きであり、同社は以前、自社の Web サイトで「2013 年 2 月に予定されている Java の更新リリースである Java SE 7 Update 15 (Java SE 7u15) で、すべての Windows 32 ビット ユーザーを JRE 6 から JRE 7 に自動更新する」と発表していました。
OracleはJavaのパッチサイクルを加速します。「Oracleは、特にデスクトップブラウザにおけるJavaランタイム環境(JRE)のセキュリティ強化に向け、Javaの修正プログラムのリリースを加速させていくつもりです」とモーリス氏は述べています。
Java SEの次回のクリティカルパッチアップデートは、4ヶ月後ではなく2ヶ月後の4月16日にリリースされ、Oracleの非Java製品のクリティカルパッチアップデートと同時にリリースされます。その後のJavaパッチアップデートは6月18日に予定されています。
