オラクルは火曜日に予定されていたJavaの重要なパッチアップデートで、Javaのセキュリティ問題40件に対処し、オンラインでの証明書失効チェックをデフォルトで有効化した。
新しくリリースされたJava 7 Update 25(Java 7u25)バージョンで修正された34件の脆弱性は、Javaのクライアント展開にのみ影響します。他の4件はクライアントとサーバーの両方の展開に影響し、1件はJavaインストーラー、もう1件はHTMLドキュメントファイルの作成に使用されるJavadocツールに影響します。
クライアントのみに発生する脆弱性の多くは、Oracleが使用する脆弱性深刻度スケールにおいて最高スコアを獲得しました。これらの欠陥を悪用した攻撃者は、悪意のあるJavaアプレット(Java Webアプリケーション)をリモートサーバー上にホストし、ユーザーを騙してブラウザに読み込ませることで、コンピュータを制御下に置くことができます。
今年、Java ブラウザ プラグインの脆弱性を悪用して Java ユーザーを標的とした Web ベースの攻撃が多数発生したことにより、家庭ユーザーや、サーバー上でも Java が頻繁に使用される企業環境において、Java プラットフォームのセキュリティの信頼性に対する懸念が高まっています。
Oracle は、Java クライアントとサーバーの導入におけるセキュリティ リスクを明確に区別するために、ブラウザ プラグインを含まない別の Server JRE (Java Runtime Environment) パッケージの出荷を 4 月から開始しました。
Javadoc の問題は、Web サーバー上でホストされ、ツールで生成された HTML ページにアクセスするユーザーに影響を与える可能性があります。
「Javadocツールのバージョン1.5以降で作成された一部のHTMLページには、フレームインジェクションの脆弱性があります」と、オラクルのソフトウェアアシュアランス担当ディレクター、エリック・モーリス氏は火曜日のブログ投稿で述べています。「この脆弱性が悪用されると、悪意のある攻撃者が脆弱なウェブページにフレームを挿入できるようになり、攻撃者は何も知らないユーザーをウェブブラウザを通じて悪意のあるウェブページに誘導できるようになります。」
Java 7u25には、脆弱性のあるWebページを生成しないパッチ適用版のJavadocツールが含まれています。さらに、OracleはJava APIドキュメント更新ツールと呼ばれる別のツールをリリースしました。このツールを使用すると、以前に生成された脆弱性のあるページを修正できます。
新しいアップデートでは、証明書失効チェック機能をデフォルトで有効にするなど、セキュリティ関連の変更もいくつか行われます。
Oracle は、Java の脆弱性に対抗する取り組みの一環として、今年初めに Java のデフォルトの動作を変更し、ユーザーの介入なしに署名のないアプレットが実行されないようにしました。これにより、開発者は有効な証明書を使用して Java Web アプリケーションにデジタル署名することが推奨されます。
しかし、この防御メカニズムが適切に機能するためには、Java がアプレットの署名に使用された証明書が発行元の証明機関(CA)によって失効されているかどうかをリアルタイムで確認できる必要があります。そうでなければ、攻撃者が盗んだ証明書を使って悪意のあるアプレットに署名し、たとえ CA が後に不正使用を理由に証明書を失効させたとしても、Java はそれを検出できません。
Javaでは、証明書失効リスト(CRL)とオンライン証明書ステータスプロトコル(OCSP)を使用した2つの証明書失効チェック方法が長年サポートされてきましたが、この機能はデフォルトで無効になっていました。5月に、Oracleは将来のリリースでこれを変更することを約束しました。
この変更は Java 7 Update 25 で行われ、デフォルトでは CRL と OCSP の両方を使用して証明書の失効をチェックするようになりました。
「通常の状況では、失効チェックはアプレットやWeb起動アプリケーションの起動パフォーマンスにわずかな影響を与えます」と、OracleはJava 7u25のリリースノートで述べています。「管理されたネットワークを持ち、インターネットにアクセスできない企業(つまり、認証局が提供する失効サービスにアクセスできない企業)では、起動時間が大幅に遅延することになります。」
このような遅延を回避するには、Javaコントロールパネルのオプションを使用して証明書失効チェックを無効にすることができます。ただし、これは「セキュリティ保護が低下するため、管理された環境でのみ検討すべき」とOracleは述べています。
Javaで発見され修正された脆弱性の数は、過去2年間と比べて今年大幅に増加したと、Qualys Vulnerability Labsのディレクター、アモル・サルワテ氏は水曜日にメールで発表した声明で述べた。「今年は137件の脆弱性が発見されましたが、過去2年間の同時期はそれぞれわずか28件と38件でした。」
「ユーザーの皆様には、できるだけ早くパッチを適用することを強くお勧めします」と彼は述べた。
