Java クリティカルアップデートは早めに更新推奨。

Javaのクリティカルアップデートが公開されたが、毎度のごとく影響度が大きいため、Java SE JDK/JRE 7 Update 80およびJava SE JDK/JRE 8 Update 45への更新を各セキュリティ機関も推奨している。

※というかJava8の更新でUpdate45ってペース早すぎだろう。



ちなみにすでにサポート終了したJava SE JDK/JRE 5または6でも脆弱性の影響をうけるそうなので、旧バージョンを使い続ける必要がなければ、最新版への更新を行うことが重要。(または無用ならJavaをアンインストール)

JPCERT/CC:
2015年4月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起

Java 8 update 45 ダウンロード
https://java.com/ja/download/

Javaに未修正の脆弱性＆ゼロデイ攻撃発見(Update)

Javaに未修正の脆弱性が発見され、すでに攻撃ツールであるExploit Kitへの組み込みのほか、悪用コードも公開されてゼロデイ攻撃が観測されている模様。




JVN脆弱性データベース
http://jvn.jp/cert/JVNTA13-010A/index.html

CERT脆弱性情報(英語)
http://www.kb.cert.org/vuls/id/625617

当面の対処方法は、ウェブブラウザの Java プラグインを無効にすることで、Windows版のJavaでは最新版(Java7 Update10)更新後、Javaコントロールパネル内セキュリティタブにある『ウェブブラウザでJavaコンテンツを有効にする』のチェックを外すことでプラグインを無効にできる。

この画面はJava7 Update10でないと表示されないので、Java6やJava7 Update9以前のバージョンを利用している際には、先にJava7 Update10への更新が必要。

Javaダウンロードページ(上書きインストール可能)
http://java.com/ja/download/

最新版をインストールしても脆弱性が修正されるわけではなく、単にWindows版でプラグインを無効にするオプションを選べるようになるだけという点に注意、近日中に修正版が公開されると思う。

(2月3日追記)
上記記事を書いた2日後にオラクルからJava 7 Update 11がリリースされたが、その後の検証で脆弱性は一部しか塞がれていない事が判明しました。結局はブラウザ上で必要のない限りJavaは無効にしておくのが正解らしい。

(関連記事)
@ITの記事
http://www.atmarkit.co.jp/ait/articles/1301/21/news105.html