寺田　佳央 – Yoshio Terada

最新 JRE へのアップデートのお願い

メディア各社より報じられおりました、JRE セキュリティの脆弱性に対応した最新版が 8 月 30 日（米国時間）リリースされました。

最新版の入手先はコチラから

• Java SE 6 update35
• Java SE 7 update7

ご使用中の JRE のバージョンはコチラのサイト(もしくは、下記の画像をクリック）で確認できます。「Java のバージョンの確認」のボタンを押下してください。

ボタンを押下した際に、下記のように (ここでは Java バージョン：Version 6 Update 33) 古いバージョンが表示されている場合、本脆弱性の影響がありますので、「今すぐ Java をダウンロード」ボタンを押下して新しいバージョンを入手してください。

最新の JRE にアップデートされて、本脆弱性に対処した環境の場合、下記のような画面が表示されます。

大変恐れ入りますが、最新版の JRE へ速やかな移行を宜しくお願い致します。

参考情報：

• Oracle Security Alert for CVE-2012-4681
  • http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html
• 社団法人 JPCERT コーディネーションセンター
  • http://jvn.jp/cert/JVNTA12-240A/
• ITMedia :
  • http://www.itmedia.co.jp/enterprise/articles/1208/31/news031.html
• CNET Japan
  • http://japan.cnet.com/news/service/35021180/

本件に関する FAQ

Q1. 今回の脆弱性については、「Java SE 7 Update 6」だけではなく、
「Java7 Update 0～5」にも存在しますか？

A1. はい、Java SE 7 Update 6 より以前の全てのバージョン(Java SE 6 も含む)で問題が発生致します。

Q2. 脆弱性の具体的内容を教えてください。

A2. JPCERT にもまとめられておりますが非常に危険のある脆弱性です。

JPCERT の詳細説明の抜粋：
Oracle が提供する Java 7 には、Java のサンドボックスを回避され、任意の OS コマンドが実行可能な脆弱性が存在します。なお、本脆弱性を使用した攻撃コードが公開されており、攻撃も観測されています。

Q3. Q2 により、具体的にどのような場合に問題になりますか？（影響度合い）

利用者が、悪意のある(Java Applet 等を含む) Web ページにアクセスした際に、外部から攻撃を受けたマシンの任意のコマンドを実行できるようになり、最悪の場合、システム内のファイルを削除される可能性もあります。

本脆弱性はサーバ上で稼働する Java 、スタンドアローンのデスクトップ Java アプリケーションには影響がないと報告されています。

Q4. 脆弱性に対する対応状況（対応版のリリース時期等）

本脆弱性に対応した Java SE のバージョンを 8月30日(日本時間 8月31日) に公開致しました。

* Java SE 7 Update 7
* Java SE 6 Update 35

1. 開発者は下記より、最新版を入手していただく事が可能です。
http://www.oracle.com/technetwork/java/javase/downloads/index.html

2. 一般の利用者は下記を経由して入手して頂く事が可能です。
http://java.com/ja/

3. Windows 環境では Java のオートアップデート機能を利用して
更新して頂く事も可能です。

本件に関する、オラクルからの正式情報は下記になります。
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html
https://blogs.oracle.com/security/entry/security_alert_for_cve_20121

大変恐れ入りますが、早急にアップデートのご検討の程宜しくお願いします。

2012年8月31日 at 1:57 午後 3件のコメント