Oracleは今日、 February 2011 Critical Patch Update for Java SE and Java for Business を発表しました。現在OracleはJava SEとJava for Businessのパッチ提供スケジュールを別にしています。本日のCritical Patch Updateには、21件の脆弱性を修正が含まれています。修正された脆弱性のうち、CVSS Base Scoreのもっとも悪いものは10.0で、8件あります。
21件の脆弱性のうち、13件はクライアントのJavaに影響があり、13件のうち12件の脆弱性は信頼していないJava Web StartアプリケーションやJavaアプレットから侵入される恐れがあります。残りの1件はスタンドアロンアプリケーション実行によって侵入される恐れがあります。
加えて、クライアントの脆弱性の一つがWindows固有のコンポーネントであるJava Updateにも影響を及ぼします。
21件のうち3件の脆弱性はクライアント、サーバ両方のJavaに影響します。これらの脆弱性は信頼していないJava Web StartアプリケーションやJavaアプレットから侵入される可能性があり、悪意のあるデータを特定のコンポーネントのAPI(たとえばWebサービスなど)に流すことで侵入される恐れがあります。
3件の脆弱性はサーバのJavaにのみ影響を及ぼします。これらの脆弱性は、特定のJavaコンポーネントのAPIに悪意のあるデータを流し込むと侵入される恐れがあります。これらの脆弱性のうちの一つ(CVE-2010-4476)は2月8日のセキュリティアラートでお伝えした通りです。
最後に、これらの脆弱性の一つは、Java DBに関連するものです。これはJDKのコンポーネントですが、JREには含まれていません。
重大な脆弱性がこのCritical Patch Updateで修正されていますので、OracleはJavaをお使いの皆様にできるだけ早期にパッチを適用されることを推奨いたします。今回のCritical Patch Updateで取り上げた脆弱性の詳細やCritical Patch Updateの入手方法、適用方法については、Critical Patch Advisoryをごらんください。一般のご家庭でお使いの皆様は、Java 自動更新機能を使って最新バージョンのJava Runtime Environment 6 update 24もしくはそれ以上をインストールしてください。最新版にはこの脆弱性を修正したものが含まれています。
参考URL
February 2011 Critical Patch Update for Java SE and Java for Business
Critical Patch Updates and Security Alerts
Oracle Software Security Assurance
最新のJREを使っているか確認するには
Java Update
0 件のコメント:
コメントを投稿