Javaに未修正の脆弱性＆ゼロデイ攻撃発見(Update)

Javaに未修正の脆弱性が発見され、すでに攻撃ツールであるExploit Kitへの組み込みのほか、悪用コードも公開されてゼロデイ攻撃が観測されている模様。




JVN脆弱性データベース
http://jvn.jp/cert/JVNTA13-010A/index.html

CERT脆弱性情報(英語)
http://www.kb.cert.org/vuls/id/625617

当面の対処方法は、ウェブブラウザの Java プラグインを無効にすることで、Windows版のJavaでは最新版(Java7 Update10)更新後、Javaコントロールパネル内セキュリティタブにある『ウェブブラウザでJavaコンテンツを有効にする』のチェックを外すことでプラグインを無効にできる。

この画面はJava7 Update10でないと表示されないので、Java6やJava7 Update9以前のバージョンを利用している際には、先にJava7 Update10への更新が必要。

Javaダウンロードページ(上書きインストール可能)
http://java.com/ja/download/

最新版をインストールしても脆弱性が修正されるわけではなく、単にWindows版でプラグインを無効にするオプションを選べるようになるだけという点に注意、近日中に修正版が公開されると思う。

(2月3日追記)
上記記事を書いた2日後にオラクルからJava 7 Update 11がリリースされたが、その後の検証で脆弱性は一部しか塞がれていない事が判明しました。結局はブラウザ上で必要のない限りJavaは無効にしておくのが正解らしい。

(関連記事)
@ITの記事
http://www.atmarkit.co.jp/ait/articles/1301/21/news105.html

Google Chromeアップデート公開

Google Chromeの最新安定版である24.0.1312.52が10日公開された。

Flash Playerの組み込みプラグインの更新が行われたほか、25個の脆弱性(一部は特定のOSのみ)が修正されたものになっている。Flash Playerは11.5.31.137に更新されている。

更新方法は最新版をダウンロードページからインストールし直すか、設定～Google Chromeについてから確認するとアップデートのチェックが行われるほか、バックグラウンドでの自動更新も行われる。

公式リリース
http://googlechromereleases.blogspot.jp/2013/01/stable-channel-update.html