Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

4月末に「Java SE 7」がEOL - 半数近くがVU未実施

4月30日に「Java SE 7」が公式サポートを終了することを受け、情報処理推進機構(IPA)は、あらためてバージョンアップを実施するよう呼びかけている。

Javaアプリケーションの利用者や提供者に対し、引き続きサポートが提供される「Java 8」へのアップデートを実施するよう呼びかけたもの。サポート終了を迎えると、脆弱性が発見されてもそれを解消するアップデートが行われなくなり、脆弱性を狙った攻撃に対して危険な状態となる。

同機構によれば、2014年の1年間だけでも「Java SE 7」が影響を受ける脆弱性対策情報は111件公開されており、そのうち危険度の最も高い「レベルIII」は48件で全体の43%を占めた。

サポート終了後、さらに新しい脆弱性が見つかる可能性もあり、放置すれば、クライアントでは改ざんサイト経由でマルウェアに感染する危険が高まる。またサーバでは、脆弱性を狙った攻撃を受け、情報漏洩やシステム停止など重大な事故が発生するおそれがあると同機構では危険性を指摘している。

同機構が実施した意識調査では、4割以上のユーザーがJavaのバージョンアップを実施していないとのデータもあり、バージョンチェックを行える無料ソフト「MyJVN バージョンチェッカ」を紹介し、対策を呼びかけている。

またこうした問題に関して、日本マイクロソフトでも対策を講じている。「Windows 7 SP1」以降では、セキュリティ更新「MS14-051」でIE 8以降向けに古い 「ActiveXコントロール」をブロックする機能を追加している。

同機能の追加により、2014年9月より「Java」をはじめ、インターネット利用時に旧バージョンを読み込もうとするとブロックし、通知バーで警告している。ブロック対象の「ActiveXコントロール」のリストは、インターネット上で公開されており、確認できる。

(Security NEXT - 2015/03/11 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

米朝首脳会談の影響で韓国に対する攻撃が増加 - 周辺国関連組織が関与か
セキュアブレイン、ウェブアプリのソースコード診断を開始
アーカイブ展開に脆弱性「Zip Slip」 - 多数ソフトウェアに影響
「Spectre」「Meltdown」と類似した脆弱性2件が判明 - 数週間以内に更新予定
同一PDFファイルに「Acrobat/Reader」と「Windows」のゼロデイ脆弱性 - 併用で高い攻撃力
「Drupal 8」に「Drupalgeddon 2.0」とは異なるあらたな脆弱性 - 重要度は「中」
「Java SE」に14件の脆弱性 - アップデートが公開
Oracleが定例アップデート、脆弱性254件を修正 - 143件はRCE脆弱性
「Spring Framework」の脆弱性、2017年の「Struts」脆弱性を想起させる危険度
EGセキュア、スマホアプリ向けに脆弱性診断 - サーバのAPIにも対応