【マルチOS】
Java SE 7 系列 (最新の Java SE 7 Update 6 を含む) に未修正の攻略可能な欠陥が発見されました。この欠陥を悪用するマルウェア(ウイルス)も各地で確認されています。
- Oracle Java 7の脆弱性を狙った攻撃について (エフセキュアブログ)
- 【ゼロデイ攻撃】JREの未修整の脆弱性を悪用した攻撃発生 (so-net)
- Vulnerability Note VU#636312 - Oracle Java JRE 1.7 Expression.execute() and SunToolkit.getField() fail to restrict access to privileged code (US-CERT)
Windows 版・Mac 版・Linux 版のいずれの Java SE 7 にも欠陥があります。
更新プログラムはまだ公開されていません。次のいずれかの方法で回避してください。
- Java をアンインストールする。
Javaを使用していないのであれば、これが一番確実な方法です。 - Web ブラウザで Java を無効化する。
攻撃の多くは Web 経由ですので、Web ブラウザで Java を無効化すれば、それらを回避できます。Java を使用する Web ページを閲覧したい場合は、たとえば次のように行います。- 普段よく使う Web ブラウザでは Java を無効化する。
- 別の Web ブラウザをインストールしておき、Java を使用する Web ページを閲覧したい場合は、そのブラウザを使用する。
- Java SE 6 系列 (最新は Java SE 6 Update 34) にダウングレードする。
Java SE 7 をアンインストールし、Java SE 6 をインストールし直す方法です。現時点では、攻略可能なのは Java SE 7 系列だけですので、この方法も選択肢に入ります。こちらからダウンロードできます。しかし Java SE 6 Update 34 にもセキュリティ欠陥は確認されており、推奨できる方法ではありません。
■ Web ブラウザで Java を無効化する方法
Internet Explorer (IE)
- 8484.disable_5F00_java_5F00_in_5F00_IE.reg をダウンロードし、デスクトップ等に保存します。
- 保存した 8484.disable_5F00_java_5F00_in_5F00_IE.reg をダブルクリックして実行します。管理者権限が必要です。
- IE を再起動します。
Firefox
Java アプレットを無効にするには (Mozilla) を参照してください。
Safari
Safari で Java Web プラグインを無効にする方法 (Apple) を参照してください。
Google Chrome
プラグイン (Google) の「特定のプラグインを無効にする」を参照して、Java プラグインを無効にしてください。
Opera
- アドレスバーに opera:plugins と入力し、「プラグイン」ページを開きます。
- 「プラグイン」ページで、Java プラグイン (「Java Platform SE …」) の「無効にする」をクリックします。無効化されると、全体がグレイアウトされます。
■ 2012.09.18 追記
Java SE 7 Update 7 および Java SE 6 Update 35 で修正されています。Mac 版も公開されています。
- Java SE ダウンロード (Oracle)。Java SE 7 Update 7 および Java SE 6 Update 35 をダウンロードできます。
- Mac 用の Java SE 6 Update 35 についてはこちらから:
- Java for OS X 2012-005 (Apple)。Mac OS X 10.7 / 10.8 用。
- Java (Mac OS X v10.6) - アップデート 10 (Apple)
■ 2012.12.17 追記
Java SE 7 Update 10 では、「Web ブラウザでの Java 無効化」を、Java コントロールパネルから簡単に設定できるようになりました。[セキュリティ] タブの「ブラウザで Java コンテンツを有効にする」のチェックを外すだけでよいです。
