1月10日、米国のセキュリティ機関であるUS-CERTはJava 7 Update 10までのバージョンに深刻な脆弱性が存在することを発表した。脆弱性は「Java Management Extensions(JMX) MBean」のコンポーネントに存在しており、これを悪用するHTMLファイルをユーザーが閲覧することで、任意のコードを認証を受けずに自動実行してしまう危険性があるという。すでにこの脆弱性を突く攻撃も横行しており、ツールキットも一般公開されているとのこと。
脆弱性についての情報は、JPCERT/CCにおいて日本語で掲出されており、脆弱性分析検査においては「緊急」となっている。
「2013.01.11における脆弱性分析結果」(JPCERT/CCのサイトより抜粋)
対策としては、WebブラウザのJava プラグインを無効にすることが推奨されている。また、Mozilla Foundationやアップルは、自社のWebブラウザにおいてJavaプラグインのロードを制限したり、Java 7自体を無効にする措置をとっている。
また、米国時間13日には米オラクルが脆弱性に対応した最新のJava 7 Updata 11を公開した。Update 11では、脆弱性に対応したほか、コントロールパネルのセキュリティレベルのデフォルト設定を「中(M)」から「高(H)」に変更。無署名のJavaアプレットを実行する際に、必ずダイアログが掲出されるようになった。同社では、ユーザーにいち早くアップデートを行なうよう呼びかけている。
