Java7 update 11では、
- CVE-2012-3174 : 修正済み
- CVE-2013-0422 : 未修整
らしい。このためすべての脆弱性が修正されていない可能性があるとのこと。
対策は、「Javaコントロールパネル」で「ブラウザでJavaコンテンツを有効にする」を無効化。もちろんパッチは適用した上での話です。
【ニュース】
◆「Java修正は不十分」 米、無効化呼びかけ継続 (日経新聞, 2013/01/15 11:15)
◆OracleがJavaのアップデートを公開、緊急の脆弱性に対応 (ITPro, 2013/01/15)
http://itpro.nikkeibp.co.jp/article/NEWS/20130115/449441/?top_nhl
◆[CNET Japan] 「Javaアップデート後も無効化を」--米国土安全保障省が勧告 (朝日新聞, 2013/01/15 13:06)
◆Oracle、Javaのアップデート公開も、修正された脆弱性は1つだけ? (@IT, 2013/01/15 15:21)
米Orcaleは1月13日、Java 7 Update 10以前で指摘されていた脆弱性を修正する「Java 7 Update 11」を公開したが、複数存在する脆弱性のうち1つしか修正できていないとの指摘も
◆Javaの脆弱性を修正する緊急パッチ公開、早急な適用を呼びかけ(トレンドマイクロ) (NetSecurity, 2013/01/15 18:23)
◆Java 7のセキュリティホール対策はこれだ! - WebブラウザのJavaプラグインを無効化すれば攻撃を予防できる (マイナビニュース, 2013/01/15)
【ブログ】
◆Confirmed: Java only fixed one of the two bugs. (Immunity, 2013/01/14)
http://immunityproducts.blogspot.ca/2013/01/confirmed-java-only-fixed-one-of-two.html
【関連情報】
- 関連情報: http://d.hatena.ne.jp/security-lab/20130111/p3 (2013/01/11) Java7の脆弱性(まとめ)