オラクル、Javaゼロデイ攻撃の緊急修正をリリース

オラクルは、2つの重大な脆弱性に対処するために、Javaの緊急パッチを月曜日にリリースしました。その1つは、標的型攻撃のハッカーによって積極的に利用されています。

CVE-

"これらの脆弱性は、認証なしでリモートから悪用される可能性があります。つまり、ネットワーク上で悪用される可能性があります。ユーザー名とパスワードを必要とせずに "と同社はセキュリティ警告で述べています。悪用が成功するためには、影響を受けたリリースをブラウザで実行している疑いのないユーザーが、これらの脆弱性を利用する悪意のあるWebページにアクセスする必要があります。

[詳しい情報：あなたのWindows PCからマルウェアを削除する方法]

新しくリリースされたアップデートでは、Javaがバージョン7アップデート17（7u17）にバンプしています。 Java 6u43はJava 6の最新の公開アップデートであり、Java 7へのアップグレードを推奨しています。 Java 6アップデートの公開は2月19日にリリースされたJava 6 Update 41で終了するはずでしたが、この緊急パッチの例外を除いているようです。

CVE-2013-1493の脆弱性は、警備会社FireEyeの研究者がMcRATというリモートアクセスマルウェアをインストールするための攻撃を発見した少なくとも最後の木曜日以降、

「CVE-2013-1493の脆弱性が最近報告されましたが、このバグは当初は2013年2月1日にOracleに報告されましたが、残念ながら、Java SEのクリティカル・パッチ・アップデートの2月19日リリースに含まれるには時期尚早ではありませんでした」とオラクルのソフトウェア保証担当ディレクター、Eric Maurice氏はブログの記事で

を発表しました。 1493年4月16日に予定されているJava Critical Patch Updateに予定されている。しかし、攻撃者が脆弱性を悪用し始めたため、Oracleはパッチを早期にリリースすることにしました。

最新のアップデートで修正された2つの脆弱性は、サーバー、スタンドアロンJavaデスクトップアプリケーションまたは組み込みJavaアプリケーション、モーリスは言った。ユーザーは、できるだけ早くパッチをインストールするように勧められている、と彼は言った。

WebベースのJavaコンテンツのサポートを、JavaコントロールパネルのセキュリティタブからWebでJavaが必要ない場合は無効にすることができる。このようなコンテンツのセキュリティ設定は、デフォルトではhighに設定されています。つまり、ブラウザ内で署名されていない、または自己署名されたJavaアプレットの実行を許可するようユーザーに促されます。 Webですが、ユーザーがどのアプレットを承認するのか、そうでないのかについて情報に基づいた決定を下すことができる場合にのみ機能します。 「自分を守るために、デスクトップユーザーは、アプレットが期待され、その起源を信頼するときにのみ、アプレットの実行を許可する必要があります」とMaurice氏は述べています。