Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Java SEにあらたな脆弱性、旧版は完全に削除を - 不正サイト誘導に注意

Oracleは、「Java SE」にあらたな脆弱性が確認されたとして、利用者に注意を呼びかけている。

20160208_ja_001.jpg
Java.comではバージョンの確認が行える

今回あきらかになった脆弱性「CVE-2016-0603」は、Windows上で動作する「Java 8 Update 71」および「同8 Update 72」「同7 Update 95」「同6 Update 111」に存在。インストールのプロセス時に悪用が可能となるという。CVSS 2.0のスコアは「7.6」。

具体的には、悪意あるサイトなどへ誘導し、「Java」のインストールに見せかけて、インストールより前に不正なファイルをダウンロードさせることが可能となるという。複雑な手順を踏む必要があるものの、攻撃が成功するとシステムの制御を奪われるおそれがある。

同社は、今回の脆弱性についてインストール時のみ影響を受けるものであり、脆弱性へ対応するためのアップデートは不要と説明。

しかしその一方で、旧バージョンユーザーに関しては、旧バージョンを確実に削除し、正規サイトを通じて「同 6 Update 113」「同7 Update 97」「同8 Update 73」以降へアップデートすることを推奨。最新版を利用しているか確認し、正規サイト以外でJavaをダウンロードしないよう注意を呼びかけている。

お詫びと訂正:本記事初出時に、影響を受けるバージョンの説明のうち、『「Java 8 Update 71」および「同8 Update 71」』との記載がありましたが、正しくは『「Java 8 Update 71」および「同8 Update 72」』です。ご迷惑をおかけした読者、関係者のみなさまにお詫びし、訂正いたします。

(Security NEXT - 2016/02/08 ) このエントリーをはてなブックマークに追加

PR

関連記事

Intelのリモート管理機能に複数の脆弱性 - リモートからコード実行のおそれ
NTT東の一部「光ポータブル」にDNSキャッシュ汚染のおそれ - サポート終了で修正実施せず
シマンテックの管理製品に脆弱性 - リモートより攻撃受けるおそれ
「Windows 8」以降で本来の脆弱性保護が発揮できないケースが判明 - 「EMET」などが裏目に
「VMware NSX for vSphere」にXSSの脆弱性 - 情報漏洩のおそれ
「VMware Workstation」「Fusion」に深刻な脆弱性 - 更新がリリース
「Oracle Tuxedo」に深刻な脆弱性 - 更新を強く推奨
シャープのロボット掃除機「COCOROBO」に脆弱性 - 不正操作のおそれ
Symantecのエンドポイント製品「SEP」に脆弱性
Cisco UCMなどのアップグレード機能に深刻な脆弱性