Java7u11 が公開に (CVE-2013-0422, CVE-2012-3174)

先日から話題になっている Java7 の脆弱性の件ですが Oracle から Java7u11がリリースされました。
今朝から、Java7u10 以下のプラグインが Firefox によってブロックリストに入れられている^*1*2ということには気づいていましたが、Java 本体がアップデートされたからなんですね。セキュリティーホールメモによると^*3まだ直っていない問題があるという情報もあるようなので、Java が必要な人は必ずアップデート版をインストールすることはもちろん、必要がない場合には不用意に有効化しない方がよさそうです。

Javaゼロデイ脆弱性の緊急修正プログラム公開－ユーザは早期適用を | トレンドマイクロ セキュリティ ブログ （ウイルス解析担当者による Trend Micro Security Blog）

今回公開された修正プログラムには、「CVE-2013-0422」と「CVE-2012-3174」という 2つの脆弱性に対する修正と、合わせて Javaのセキュリティレベルを「中」から「高」にするという初期設定の変更が含まれています。この初期設定の変更によって、署名がされていない Javaアプレットが実行される際には、ユーザに警告が表示されるようになります。
緊急修正プログラムが公開されたことを受け、Java を使用しているユーザは、この修正を早急に適用することを推奨します。一方、Java を利用していて何らかの理由で修正プログラムが適用できない場合には、Webブラウザのプラグイン、アドオンなどの設定で Java を無効にすることで、外部 Webサイトを経由した攻撃からのリスクを回避できます。

• ^*1: Java Plugin 7 update 10 and lower (click-to-play), Windows はブロックされました
• ^*2: MozillaやApple、Javaの未解決の脆弱性に対処　Javaプラグインを無効に - ITmedia エンタープライズ
• ^*3: セキュリティホール memo