▼ 2013/01/11(金) Java 7 系列に未修正の欠陥、既に悪用を確認
Java 7 系列 (最新の Java 7 Update 10 を含む) に未修正の攻略可能な欠陥が発見されました。この欠陥を悪用するマルウェア(ウイルス)も各地で確認されています。
Windows 版・Mac 版・Linux 版のいずれの Java 7 にも欠陥があります。
更新プログラムはまだ公開されていません。Java 7 をインストールしている場合は、次のいずれかの方法で回避してください。
- Java をアンインストールする。
Javaを使用していないのであれば、これが一番確実な方法です。 - Web ブラウザで Java を無効化する。
攻撃の多くは Web 経由ですので、Web ブラウザで Java を無効化すれば、それらを回避できます。最新の Java 7 Update 10 であれば、Java コントロールパネルから簡単に設定できます。 - Java 6 系列 (最新は Java 6 Update 38) にダウングレードする。
Java 7 をアンインストールし、Java 6 をインストールし直す方法です。現時点では、攻略可能なのは Java 7 系列だけですので、この方法も選択肢に入ります。こちらからダウンロードできます。しかし Java 6 は今年の 2 月にサポートが終了してしまいます。推奨できる方法ではありません。
■ Web ブラウザで Java を無効化する方法(一括設定)
Java 7 Update 10 にアップデートした上で、Java コントロールパネルから設定します。[セキュリティ] タブの「ブラウザで Java コンテンツを有効にする」のチェックを外します。これにより、全ての Web ブラウザにおいて Java が無効化されます。
■ Web ブラウザで Java を無効化する方法(個別設定)
Internet Explorer (IE)
- 8484.disable_5F00_java_5F00_in_5F00_IE.reg をダウンロードし、デスクトップ等に保存します。
- 保存した 8484.disable_5F00_java_5F00_in_5F00_IE.reg をダブルクリックして実行します。管理者権限が必要です。
- IE を再起動します。
Firefox
Java アプレットを無効にするには (Mozilla) を参照してください。
Safari
Safari で Java Web プラグインを無効にする方法 (Apple) を参照してください。
Google Chrome
プラグイン (Google) の「特定のプラグインを無効にする」を参照して、Java プラグインを無効にしてください。
Opera
- アドレスバーに opera:plugins と入力し、「プラグイン」ページを開きます。
- 「プラグイン」ページで、Java プラグイン (「Java Platform SE …」) の「無効にする」をクリックします。無効化されると、全体がグレイアウトされます。
■ 2013年1月15日追記
欠陥が修正された Java 7 Update 11 が公開されました。Java 7 利用者は更新してください。Java コントロールパネルの [更新] タブにある「今すぐ更新」をクリックしてください。あるいは、以下のリンクから個別にダウンロードしてインストールしてください。
- Java SE Downloads (Oracle)
その上で、Web ブラウザでの Java 無効化については、設定し続ける事を推奨します。
2013年1月21日追記
複数のセキュリティ専門家・専門機関が、Java 7 Update 11 では欠陥は完全には修正されていないと指摘しています。
- Javaのゼロデイ脆弱性の最新修正プログラムに問題発覚 (トレンドマイクロ)
- Confirmed: Java only fixed one of the two bugs. (Immunity)
上記したように、Web ブラウザでの Java 無効化については、ひきつづき設定し続ける事を推奨します。
- TB-URL(確認後に公開) http://www.st.ryukoku.ac.jp/blog/vuln/0528/tb/