JavaのWindows版インストーラーに脆弱性、緊急アップデートがリリースされる

headless 曰く、　Oracleは5日、Java SE 6/7/8のWindows版インストーラーで見つかった脆弱性に対する緊急アップデートをリリースした（The Oracle Software Security Assurance Blog、Oracle Security Alert for CVE-2016-0603、BetaNews、窓の杜）。

　サポート中のバージョンで影響を受けるのは、Java SE 6u111、7u95、8u71、8u72。脆弱性を悪用するには、Java SEのインストール前にユーザーを攻撃用Webサイトに誘導し、悪意のあるファイルをダウンロードさせる必要がある。複雑な攻撃が必要となるものの、実際に悪用が成功するとシステムが完全に乗っ取られる可能性があるとのこと。

　脆弱性の影響を受けるのはインストール時のみなので、既にJava SEがインストールされている場合はアップデートの必要はない。ただし、今後のインストールで使用するためにJava SE 6u113、7u97、8u73よりも古いバージョンをダウンロードしている場合、これらは破棄して6u113、7u97、8u73以降のバージョンを使用する必要がある。Java SE 6/7の最新版は一般公開されていないので、通常はJava SE 8u73以降を使用することになるだろう。

　Softpediaの記事によると脆弱性はDLLハイジャックが可能になるというもので、Java SE以外でも数多くのアプリのWindows版インストーラーで最近次々と発見されているようだ。OracleではVirtual Boxで見つかった同様の脆弱性について、1月のアップデートで修正しているとのこと。

　スラドのコメントを読む | デベロッパーセクション | セキュリティ | Java | Windows | デベロッパー

　関連ストーリー：
Java SE 8 Update 71公開、java.comの最新版インストーラーの使用を強く推奨 2016年01月22日
Appleは最も脆弱性の多いソフトウェアベンダーであるという指摘 2015年10月29日
Java SE 7系で最後となる予定のリリース「Java SE 7 Update 79」リリース 2015年04月16日
Adobeセキュリティ担当曰く「Click-to-PlayのおかげでJavaに対する大量のゼロデイ攻撃を防げた」 2014年10月21日
Java公式サイトなどにJavaの脆弱性を悪用する不正広告が配信されていた 2014年08月28日