Hitach Incident Response Team

 4月21日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Java SE 7 Update 21、Java SE 6 Update 45リリース(2013/04/16)

 Java SE 7 Update 21では、Update 17並びにそれ以前に存在する42件の脆弱性を解決しています。影響を受けるコンポーネントは、2D、AWT(Abstract Windowing Tools)、Beans、Deployment、ホットスポット、ImageIO、インストール、JAX-WS(Java API for XML Web Services)、JAXP(Java API for XML Processing)、JMX(Java Management Extensions)、JavaFX、ライブラリー、ネットワーク、RMI(Remote Method Invocation)です。クライアントとサーバーに影響のある脆弱性は1件(CVE-2013-1537)で、該当するコンポーネントはRMIです。また、このバージョンから、ブラウザー経由で起動されるJavaアプレットおよびアプリケーションについて、実行前にユーザーの確認を促すダイアログが表示されるようになりました(図1)。

 Java SE 6 Update 45では、Update 43並びにそれ以前に存在する25件の脆弱性を解決しています。なお、オラクルでは2013年2月をJava SE 6のパブリックアップデートの終了時期であるとしていることから、Java SE 7系へのアップグレードを推奨しています。

図1●ユーザーの確認を促すダイアログの例
[画像のクリックで拡大表示]

米アップル製品に複数の脆弱性

■Java for OS X、Java for Mac OS Xセキュリティアップデート(2013/04/16)

 Java SE 6 Update 45リリースに合わせて、セキュリティアップデートJava for OS X 2013-003、Java for Mac OS X 10.6 Update 15がリリースされました。このアップデートでは、Java 1.6をバージョン1.6.0_45に更新し、約20件の脆弱性を解決しています。

■Safari 6.0.4リリース(2013/04/16)

 Safari 6.0.4では、WebKitコンポーネントのSVGファイルの処理に存在する任意のコード実行やサービス拒否攻撃を許してしまう脆弱性(CVE-2013-0912)を解決しています。

オラクル2013年4月の四半期セキュリティアップデート(2013/04/16)

 Critical Patch Update - April 2013には、Oracle Database Server系4件、Oracle Fusion Middleware系29件、Oracle E-Business Suite系6件、Oracle Supply Chain Products Suite系3件、Oracle PeopleSoft系11件、Oracle Siebel CRM系8件、Oracle Industry Applications系3件、Oracle Financial Services Software系18件、Oracle Primavera Products Suite系2件、Oracle and Sun Systems Products Suite系16件、Oracle Sun Middleware Products系2件、Oracle MySQL系25件、Oracle Support Tools系1件、計128件のセキュリティアップデートが含まれています(図2)。認証操作が不要でリモートからの攻撃を許してしまう脆弱性の件数で、計47件となっています。

図2●製品系列別の四半期セキュリティアップデート件数の推移
[画像のクリックで拡大表示]

この先は会員の登録が必要です。今なら有料会員(月額プラン)登録で6月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら