「Java 7」に深刻な脆弱性が確認された。米国国土安全保障省管轄下のセキュリティ監視機関US-CERTは10日、脆弱性に関する文書「Vulnerability Note VU#625617」を公開、強い調子で消費者に警告を発している。この脆弱性を使用した攻撃プログラムの存在も確認されており、被害も報告されている。
対象製品はJava Platform Standard Edition 7(1.7/1.7.0)を使用するWebブラウザ。製品にはJava SE 7とJDK 7、およびJRE 7も含まれる。ただし、JRE(JDK) 1.4.2/5.0/6とJava SE Embedded JREは影響を受けない。
一連の報告を受け、Oracleは13日「Java SE 7 Update 11」(v1.7.0_11)を公開。同社Webサイトでは、LinuxとOS X、Solaris、Windowsの各プラットフォームに対応した最新版パッケージの提供を開始している。
Oraclの公式ブログによれば、本脆弱性を突いた攻撃はWebブラウザ上で動作するJavaプログラム(Javaアプレット)が対象だという。サーバ上およびスタンドアロンで動作するJavaアプリケーションには影響しないが、悪意のもと細工されたJavaアプレットを埋め込むWebページや、JNLP(Java Network Launching Protocol)ファイルを開くことにより、Javaのサンドボックスを回避して任意のコードが実行される可能性がある。つまり、WebブラウザのJavaプラグインを無効化すれば、悪意のプログラムによる攻撃を予防できる。
しかし、US-CERTは脆弱性に関する文書を14日に更新、Javaのアップデート後もJavaプラグインを有効化しない旨推奨している。その理由には、Oracleが公開したアップデータが1つの脆弱性にしか対応しておらず、他の脆弱性が残るというセキュリティ企業Immunity社のレポートを挙げている。
主要WebブラウザでJavaプラグインを無効化する方法は、以下に示すとおり。プラグインを無効化すれば被害を受けないとされるが、Java JRE/SDKをアップデートしたうえで無効化すれば万全だろう。
Internet Explorer(Windows)
Internet ExplorerにはJavaアプレットの利用を禁止する設定項目がないため、Javaコントロールパネルで作業する。「セキュリティ」タブを開き、「ブラウザでJavaコンテンツを有効にする」のチェックを外したあと「適用」ボタンをクリックすると、ユーザアカウント制御画面で変更内容を確認されるので、「はい」をクリックする。その後、OracleのWebサイトにあるJavaのバージョン確認画面で「Javaは検出されませんでした」と表示されれば、Javaアプレットの無効化は完了だ。
Firefox(Windows/OS X/Linux)
「アドオンマネージャ」を開き、プラグイン項目にある「Java アプレットプラグイン」の「無効化」ボタンをクリックすると、以降FirefoxでJavaアプレットが動作しなくなる。
Google Chrome(Windows/OS X/Linux)
アドレスバーに「chrome://plugins」と入力し、現れたJavaの項目にある「無効にする」をクリック。するとJavaの項目全体がグレーになり、以降ChromeでJavaアプレットは利用できなくなる。
Safari(OS X)
OS XはMountain Lion(v10.7)以降、Javaはプリインストールされていない(初めてJavaを実行したときダウンロード)。Javaをインストールした場合には、Safariの環境設定パネルで「セキュリティ」タブを表示、「Javaを有効にする」のチェックを外すとJavaアプレットは無効化される。