「Javaアップデート後も無効化を」--米国土安全保障省が勧告

　Oracleは米国時間1月13日、Javaソフトウェアの緊急アップデートを公開したものの、米国土安全保障省（DHS）はパッチの当てられていない脆弱性が残っていることを理由に、ウェブブラウザ上のJavaを無効化するようコンピュータユーザーに対して引き続き勧告している。

　DHSのコンピュータ緊急事態対策チーム（CERT）は1月10日に公開したアドバイザリにおいて、「Java 7」プラグインをシステムにインストールしているユーザーに対して同プラグインの無効化を推奨した。その後Oracleは1月13日に、該当クロスプラットフォームプラグインの致命的脆弱性に対応したソフトウェアアップデートをリリースした。

　Oracleは1月13日付けのアドバイザリで、Javaソフトウェアのアップデートを行って今回の脆弱性に対応するようユーザーに対して「強く推奨」している。しかしDHSは、Javaにその他の未知の不具合が残っている可能性についていまだに懸念を持っている。

　CERTは1月14日にアドバイザリを更新し、「ウェブブラウザ上でJavaを絶対に実行しなければならないという場合を除き、7u11へのアップデート後も以下の手順で同プラグインを無効化しておいてほしい。これによって、将来的に発見されるかもしれないJavaのその他の脆弱性を回避するうえで役立てることができるだろう」という文言とともにプラグインの無効化手順を公開している。

　DHSは、Oracleのアップデートがたった1つの脆弱性にしか対応しておらず、その他の脆弱性はいまだに残っているという、セキュリティ企業Immunityによるレポートを引用している。

　「Javaのコードについて十分な知識を有している攻撃者は、今回対応された脆弱性に代わる他のゼロディ脆弱性を利用することで、簡単にユーザーを危険に陥れることができる」（Immunityのブログ）

　米CNETはOracleにコメントを求めているが、本稿掲載時点で回答は得られていない。