Javaをインストールするプロセスに脆弱性が発見され、米Oracleがセキュリティ情報を出してユーザーに対応を呼び掛けた。ダウンロード済みの古いJavaを破棄して更新版に入れ替えるよう促している。

Oracleの2月5日付のセキュリティ情報によると、脆弱性はWindows版のJava SE 6／7／8をインストールする過程に存在する。

悪用された場合、ユーザーがJava SEをインストールする前に不正なWebサイトに誘導され、ファイルをダウンロードさせられる恐れがある。システムを完全に制御される可能性も指摘されているものの、攻撃の成立には複雑な条件が必要とされ、危険度は共通脆弱性評価システム（CVSS）のベーススコアで7.6（最大値は10.0）と評価している。

影響を受けるのはWindows版のJava SE 6u111／7u95／8u71／8u72の各バージョン。脆弱性はインストールの過程のみに存在するためインストール済みのJava SEについては対応は不要だが、Java SEの6u113／7u97／8u73よりも前の古いバージョンをダウンロードして後にインストールする予定だったユーザーは、古いダウンロードを破棄した上で、6u113／7u97／8u73以降のバージョンに入れ替える必要がある。

脆弱性の影響を受けるバージョン

Java SEのバージョンは公式サイトの「Java.com」で確認できる。Oracleではホームユーザーに対し、同サイトでJava SEが最新版に更新されていることを確認するよう促すとともに、それ以外のサイトからはJava SEをダウンロードしないよう注意を呼び掛けている。

ダウンロードは必ず正規サイトから

Copyright © ITmedia, Inc. All Rights Reserved.