追記:
2013/1/13
本脆弱性に対応したjava 7 update 11がリリースされました。
http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html
アップデートはこちらから。
2013/1/16
13日のUPDATE11について、
正確には、「CVE-2013-0422の修正はしていないが、この問題を発生させる
ために必要?なもう一つの問題 CVE-2012-3174 に対応したから、結果として、
CVE-2013-0422の問題も起きないよ」ということらしいです。(完全な受け売りです)
詳しくは↓こちらをご覧ください。
「Java 7 Update 11でも脆弱性は残っているから引き続きJava無効化を」という話について。」
ここ数日、パソコンに入っている(かもしれない)JAVAランタイムの脆弱性についての
記事を目にします。
↓こんな記事です。
http://www.itmedia.co.jp/enterprise/articles/1301/11/news033.html
米セキュリティ機関 US-CERTのバルネラビリティノート(脆弱性ノート)
http://www.kb.cert.org/vuls/id/625617
このJAVAランタイムは、たとえばOpenOfficeとかをパソコンで使うときに一緒に、
または、自分で個別にインストールしています。
パソコンに入っているかどうかは、
http://java.com/ja/download/
の「Javaの有無のチェック」をクリックするとわかったりします。
(Windowsなら、「コントロールパネル」をみてもわかります)
で、今回、何が問題かというと、
・脆弱性に対する攻撃が目立つようになった
・提供ベンダーであるオラクルが、脆弱性を放置しつづけている
ということのようです。
このブログの
Privacy Protection とか Internet Security 2012という名のマルウェア
で紹介した、Internet Securityなんていうマルウェア
も、この脆弱性をついてインストールされた可能性が高いです。
とりあえず、JAVAをアンインストールしましょう。
特に、小中高校生のいるご家庭のお父さん、お母さん。
子供が、何の気なしにググってアクセスしたページに、この脆弱性をついたトラップが
仕掛けられて、結果、変なソフトが入ってしまったりして痛い目に合ってしまう可能性が高いです。
今回は、この脆弱性に対処したJAVA JREが提供されていないため、
アンインストールするか、無効にする以外は対処のすべがありません。
JAVAは、必要になった時にインストールすればいいと思います。
古いバージョンも手に入ります。
どうしても使いたい...という人は、
・Java 7 Update 10にアップデートする
・WebブラウザでJavaを無効にする
http://www.java.com/ja/download/help/disable_browser.xml
の両方を行ってください。
いずれにしても、早めの対処をお勧めします。
コメント