Java更新後も無効化の継続を訴えるUS-CERT

Javaのゼロデイ脆弱性が指摘されてから数日後にようやくOracleから更新がリリースされた。
7u11にアップデートをすれば件の脆弱性については対応されているのでひとまず安心ではあろうが、米国土安全保障省(US-CERTの運営管轄)は未知の不具合が残っている可能性についていまだに懸念を持っているようで、以下のように引き続き無効化しておくべきだと主張している。ぶっちゃけていえば「不要不急の外出は控えよ」的な意味合いに近いだろうか。

■Vulnerability Note VU#625617 Java 7 fails to restrict access to privileged code – US-CERT
http://www.kb.cert.org/vuls/id/625617

Unless it is absolutely necessary to run Java in web browsers, disable it as described below, even after updating to 7u11. This will help mitigate other Java vulnerabilities that may be discovered in the future.
[拙訳]ブラウザ上でどうしてもJavaを動かす必要がない限り、7u11更新後でも以下の理由によりJavaを無効にしたほうがよい。無効化は、将来発見される可能性のある他のJava脆弱性を回避するための助けとなる。

読みやすい日本の記事もどうぞ……。

■「Javaアップデート後も無効化を」–米国土安全保障省が勧告 – CNET Japan
http://japan.cnet.com/news/service/35026882/

将来の脆弱性のことを考えると、Javaに限らずWindowsでもOS XでもLinuxでもApacheでもBINDでもPHPでも同じで「必要ないなら使うな」になってしまいそうなもんだが、WindowsにせよOS Xにせよ、そうはいかないっていう人の数が多いからそうしたアナウンスに至らない(ApacheもBINDも代替ソフトウェアは存在するので変更や対応は意思決定者の判断に委ねられる。開発言語は言語習熟者次第といったところか)。

とはいえJavaも利用者はかなり多いと思うが、Javaの問題点は、PHPのようなシステム開発側に帰着し対応すべく問題でもなければ、OSのようにどんな利用者でも気が付いて対処できる問題でもなく、おそらくは「知らないところでJavaが使われていて、昔なんとなくOKボタンを押してインストールしていたらしいのでインストールされていた」という潜在的(無自覚?)利用者がかなりの数いることなんじゃないだろうか。これはなかなか難しい問題である。
さらにJREだとかJDKだとか、普通の人では判りにくい状況もある。Oracleからの積極的な脆弱性情報の提供というのも、今回の件では見られなかったことを考えると、Oracleによるサポート力や継続性は疑いの眼差しを向けざるを得ない。知ってる人からすれば「SunがOracleに買収されなければ」などとこぼしたくもなってしまうだろう(買収がJava対応にどこまで影響を及ぼしているのかは、私は専門じゃないので判りませんが)。

JavaはAndroidアプリ開発でも使われている言語だけに、今後も一層重要な開発言語として位置し続けるのは間違いない。今回の脆弱性はアプレットに関する内容であったが、JDKを含むJava環境そのものに対するセキュリティ対策が、Oracleを始め今後より精査されていくべきであることが再認識された、と期待したい。

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください