Java 7に未パッチの脆弱性
今月の気になるオープンソース情報(2012年9月号)
フロンティア開発部 米山陽介
米オラクルは2012年8月30日、「Java SE 7」に遠隔から任意のコマンドを実行される危険がある深刻な脆弱性が見つかったことを受け、 これを修正するためのパッチおよびこれを適用したアップデート版パッケージを緊急リリースしたようです。
この脆弱性は、最新のJRE version 1.7 update 6をインストールしたFirefoxで、実際に攻撃が可能であることも確認できたようです。 「Windows XP/Vista/7とIE」だけでなく、「Ubuntu Linux 10.04とFirefox」の組み合わせや、「Mac OS X 10.7.4とSafari」の組み合わせについても攻撃が可能ということでした。
オラクルもアップデートすることを「強く推奨する」と記述しています。
https://www.oracle.com/technetwork/java/javase/downloads/index.html
脆弱性の情報がすぐに公開・修正され、より安全でよいものになっていくのはOSSの良いところですね。 ただ、このような脆弱性で金銭的な損害を被った場合「開発者はソフトウェアの欠陥に法的責任を負うべきか?」と言った議論もされており、 開発者がより多くの責任を果たす必要があるという意見も出ています。 しかし、現時点では自分ですぐに対策を実施したり、臨機応変に動き、問題が起こらないようにする必要があります。