ニュース 2019.01.16 オラクル、脆弱性を修正した「JRE 8 Update 201」公開

　最新版では、Update 192以前に影響する脆弱性4件が修正されている。脆弱性評価システム（CVSS）のスコアを見ると、5.3の「警告」が1件、3.7の「注意」が1件、3.1の「注意」が2件。4件とも認証なしでネットワーク上から攻撃されるおそれがある。

　アップデートの対象となるのは、Windows、v10.7.3以降のMac OS X（macOS）、Linux、Solaris。JREのアップデート機能（自動更新機能や、「Javaコントロール・パネル」の[更新]タブの[今すぐ更新]ボタン）を使って更新できるほか、同社サイトから無料でダウンロードすることもできる。

▲JREの更新情報：「Oracle Critical Patch Update Advisory」より

　最新版では、コード実行につながるおそれがある解放したメモリーにアクセスしてしまう問題と、セキュリティが迂回されるおそれのある特権昇格の問題の計2件が修正されている。緊急度は、どちらも、3段階で最も高い「クリティカル」。

　アップデートの優先度は、3段階で2番目に高い「2」。これは、過去に攻撃リスクが高いとされたことのあるタイプの脆弱性の修正ではあるが、現時点で攻撃対象になっているとの報告はなく、過去の実績から今後悪用される可能性は低いことを示している。例えば30日以内といった、短期の間にアップデートすることが推奨されている。

　システムにインストールされているJREのバージョンは、下記「Javaのバージョンの確認」ページで確認できる。ただし、JREのプラグインに対応していないブラウザ（Google Chrome、Firefox、Microsoft Edge）は、このページを利用できない。プラグインをサポートするInternet ExplorerやSafariでアクセスするか、「Javaコントロール・パネル」を利用していただきたい。

　Windows 8.1のInternet Explorerの場合には、デスクトップモードでアクセスしていただきたい。スタート画面のInternet Explorerを使っている場合には、右下のスパナアイコン→[デスクトップで表示する]の順に操作すると、デスクトップモードのInternet Explorerに切り替わる。

　64bit版のWindows環境の場合には、32bit版と64bit版の両方のブラウザやプラグインが混在していることがある。32bit版と64bit版の双方のブラウザで、JREの確認と更新を行っていただきたい。

【関連URL：オラクル】
・Oracle Critical Patch Update Advisory - January 2019[英文]
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html#AppendixJAVA
・Javaのバージョンの確認
http://www.java.com/ja/download/installed.jsp
・Javaのダウンロード
http://java.com/ja/download/

TEXT：現代フォーラム