オラクル、重大なバグにパッチを当てるためにJava 7アップデート11をリリース

オラクルは、ユーザーのコンピューターに侵入するために攻撃者によってすでに使用されていたJavaの重大なセキュリティバグをクローズする緊急アップデートをリリースしました。

アウトオブバンドパッチは、OracleのJava 7で最近発見された重大な脆弱性に対処します。 ユーザーは、すぐにJava 7 Update 11に更新することをお勧めします。

Java 7 Update 11は、CVE-2013-0422（最新の脆弱性）と、昨年6月にさかのぼる古いリモートコード実行のバグであるCVE-2012-3174の両方を軽減します。 両方の欠陥は、このスケールで可能な最大スコアである10のCommon Vulnerability Scoring Systemレーティングを受け取りました。 このパッチでは、Oracleはこの欠陥を解消し、JavaがWebアプリケーションと対話する方法も変更しました。

「JavaアプレットおよびWeb起動アプリケーションのデフォルトのセキュリティレベルは、「中」から「高」に引き上げられました」とOracleはアドバイザリで述べています。

これは、署名されていないJavaアプレットまたはWeb Startアプリケーションを実行する前に、常にユーザーにプロンプ​​トが表示されることを意味します。 以前は、ユーザーが最新バージョンのJavaをインストールすると、Javaアプレットとアプリケーションが自動的に実行されました。 「高」設定では、署名されていないアプリケーションが実行される前に常に警告が表示されるため、攻撃者はサイレント攻撃を開始できません。

帯域外パッチ

Oracleからの緊急パッチは珍しいです。 同社は通常、四半期ごとにJavaにパッチを適用しますが、この脆弱性を悪用する攻撃コードが「Blackhole」や「NuclearPack」などのいくつかの人気のあるエクスプロイトキットに既に追加されているため、この帯域外修正をリリースする可能性があります。 Crimwareキットは、犯罪者がコンピューターにマルウェアを感染させ、悪意のある目的でマシンを乗っ取るのを容易にします。 研究者は、コードを実行しているWebサイトをすでに発見していますが、現時点では何人のユーザーが既に侵害されているかは不明です。

オラクルは、研究者が同様のリモート実行の欠陥を発見した後、昨年秋に帯域外パッチを以前リリースしました。

デスクトップではなく、WebブラウザのJavaに影響します

オラクルのソフトウェアセキュリティ保証ディレクターであるエリック・モーリスは、Oracle Software Security Assurance Blogで次のように書いています。 。 Javaを実行するWebサイトに定期的にアクセスしない場合は、ブラウザー内でJavaプラグインを無効にする価値があります。 SecurityWatchのNeil RubenkingからJavaを無効にする方法について、順を追って説明します。

多くのデスクトップアプリケーションや人気のあるゲーム（Minecraftなど）はJavaを使用していますが、ローカルのJavaクライアントは攻撃を受けていません。

「これらの脆弱性は、サーバー上のJava、Javaデスクトップアプリケーション、または組み込みJavaには影響しません」とMaurice氏は書いています。