6月に、OracleがJavaでより良い結果を出し、プラットフォームをより頻繁に更新することを約束した方法について説明しました。 これは、ユーザーを攻撃するためにJavaが何度も何度も使用された一連の恥ずかしいエピソードの絶頂でした。 今週、OracleはJavaの新しい一連のアップデートの最初をリリースしました。これにより、製品を実行する30億台のデバイスのセキュリティが向上することを期待しています。 それは真実かもしれませんが、アップデートは恐ろしく大きく、同様に恐ろしい意味合いを持っています。
パッチ適用の高速化
以前は、Javaは1年に3回更新されていましたが、今週から、重要なパッチ更新またはCPUの一部として、Oracleの残りの製品とともに四半期ごとに更新されます(Oracleが何をしたかわかります)。
全体として、このアップデートには127のセキュリティ修正が含まれています。 これらのうち、51はJava用であり、ここが怖い部分です。これらの脆弱性のうち50は、Oracleの言葉で「認証なしでリモートで悪用可能」です。
しかし、ああ、それは良くなります。 Qualysのブログで、CTOのWolfgang Kandekは、「CVSSv2スコアが10の12の脆弱性が、認証を必要とせずにネットワーク上の攻撃されたマシンを完全に制御できることを示しています」と書いています。 彼は、ほとんどの更新プログラムがラップトップおよびデスクトップユーザーに影響することを指摘しています(たとえば、あなたはこれを今読んでいます)が、サーバーのインストールに関連する2つの非常に重要な更新プログラムがあります。
更新する時間!
ほとんどのユーザーはおそらく自動的に更新を受信しますが、念のために、オラクルは実行中のバージョンをテストするための便利なページを提供しています。 期限切れのインストールが検出されると、更新をダウンロードしてインストールするように求められます。 今週の最新バージョンはJava 7アップデート45です。
Javaを手動で更新するときは、Ask.comツールバーをインストールしてデフォルトの検索エンジンをAskに変更するように説得するので、Javaを手動で更新するときは注意してください。
少なすぎる?
Oracleがセキュリティゲームを強化するのを見るのは良いことですが、すべての人がOracleの動きを誇張しているわけではありません。 ソフォスのシニアセキュリティアドバイザーであるチェスターウィズニースキーは、彼の会社のブログで、これは遅すぎると感じていると書いています。 「評判がこれほど良くなく、10億人以上のユーザーを欠陥にさらしている場合、より迅速に対応する必要があります。」
ウィスニエフスキーは、オラクルの優先順位がずれていることをほのめかし、最近アメリカズカップで優勝したラリー・エリソンのオラクルブランドのボートを攻撃する大胆さを持ちました。 「賞をロビーの棚に置き、1, 000万ドルのボートを売り、Javaパッチサイクルを予備の現金で毎月更新するために必要なエンジニアを雇います」とWisniewski氏は書いています。 「30億個以上のデバイスに感謝します。」
Javaインストールの更新は、多くのエクスプロイトキットに組み込まれ、攻撃者によって頻繁に使用されるJavaベースの攻撃から保護するための最良の方法です。 もちろん、いつでもプラグを抜いてJavaを完全に無効にすることができます。