アップル、Javaセキュリティアップデートを公開

Apple ComputerがMac OS X向けにJavaのセキュリティアップデートをリリースした。このアップデートが対応する脆弱性のなかには、悪意のある攻撃者によってシステムにアクセスするのに悪用されるおそれがあるものも含まれている。

　米国時間17日に公開された「Java 2 Standard Edition 5.0 Release 4」のアップデートは、Java Web Startにある脆弱性を修正するものだが、この脆弱性を悪用された場合、特別に作成したアプリケーションを使って、セキュリティ制限を回避してシステムのリソースにアクセスできるようになることから、システム内に侵入される可能性がある。Java Web Startは、インターネットなどのネットワーク経由でJavaアプリケーションを読み込むための技術だ。

　今回のアップデートでは、さらにJava Runtime Environmentの一部である「reflection」APIのバグも修正されている。これらの脆弱性は、攻撃者がセキュリティ対策を回避してシステムを乗っ取ることに悪用されるおそれがある。

　FrSIRT（French Security Incident Response Team）は米国時間18日に出した勧告のなかでこの問題を「緊急」に分類している。

　この問題は、Java 2を搭載したMac OS Xのバージョン10.4.5（クライアント版とサーバ版の両方）に影響がある。Appleでは、同ソフトウェアの利用者に対し、J2SEアップデートをダウンロードしてインストールすることを推奨している。

　このJavaの問題は、Microsoft WindowsやSun MicrosystemのSolaris、Linuxにも影響がある。Sunは2月に、これらのOSが抱えるWeb StartとJava Runtime Environmentの問題に関して警告を発していた。Sunはその際、Web Startの脆弱性が悪用された例はないとの見解を示していた。 (2006.4.20/CNet)