JavaSEに脆弱性が発見。
エンタープライズ用のプラットフォームの定番であるJavaですが、どうしてこんなに脆弱性が見つかるのでしょうか。
エンタープライズ用と銘打つからには、このような脆弱性を発生させないようなプロダクト開発にするか、バージョンの移行が難しくなるシステムを採用しないでほしいなと感じます。
Oracleは米国時間3月23日、Javaの緊急パッチをリリースした。このパッチは、ユーザー認証を経ることなしに遠隔地からのコード実行を許す可能性があるという深刻なバグに対処するものだ。
同社のセキュリティページによると、この脆弱性(CVE-2016-0636)は共通脆弱性評価システム(Common Vulnerability Scoring System)による評価が9.3で、極めて深刻度が高い。
同脆弱性は、「ユーザーが使用しているシステムの可用性と完全性、機密性に影響を及ぼす可能性がある」という点で、極めて深刻度の高いものだと考えられている。
パッチが適用されていないバージョンのJavaを、ブラウザやデスクトップ上で実行した場合、悪意のあるページに1度アクセスするだけで、遠隔地からのシステム侵入を許してしまう可能性がある。その際には、ユーザー名やパスワードといった認証情報は一切必要とされない。
影響のあるバージョンはWindows、Solaris、Linux、OS X向け「Oracle Java SE」の「Version 7 Update 97」と「Version 8 Update 73」「Version 8 Update 74」。ただサーバ用、あるいはスタンドアロンのデスクトップアプリ用として配備されているJavaは、信頼されたコードしか実行しないため、今回の脆弱性の影響を受けないと考えられている。
Oracleは同脆弱性の深刻度の高さを考慮し、定例パッチではなく緊急パッチで対処している。その点を考えると、ユーザーは速やかに今回のパッチを適用するべきだ。なお、パッチは同社のページからダウンロードするか、自動アップデートを用いて適用することができる。