Javaセキュリティ情報

あまりまじめに更新してないので各自で最新情報を追いかけることを強くお勧めします。

OracleのJREをお使いの方へ

Oracle(旧Sun Microsystems)のJava実行環境(JRE)には、たびたびセキュリティホールが発見されています。可能な限り最新版に更新しておくことをお勧めします。

JREは異なるバージョンがいくらでも共存できていたので、少なくともJRE 5.0 Update 4までは、新しいバージョンをインストールしただけでは対策になりませんでした。必ず古いバージョンのアンインストールも行ってください。(2005-12-07追記、2007-07-15更新)JRE 5.0 Update 6以降のバージョンをインストールしていれば古いバージョンのJREを別途インストールしていても、Internet Explorer用のActiveXコントロールに関しては脆弱なバージョンのJREでアプレットを起動させられるおそれはなくなりました。Netscape用のPlug-inでは、最新バージョン以外のものを指定するとプラグインのインストールを促されますが、インストール済みの旧バージョンが勝手に起動されることはありません(詳細→高木浩光＠自宅の日記 2007年07月10日)。

(2008-12-16追記)Java SE 6 Update 10以降のバージョン同士は、デフォルトで上書きされて同時に複数のパッチバージョンがインストールされないよう設計変更されました。

また、入れ替えるときは必ず古いバージョンをアンインストール→新しいバージョンをインストールの順で行ってください。これを逆にすると(Windowsの場合)レジストリから必要な情報が削除されてJava Plug-inが正しく動作しなくなる場合があります。その場合は、新しいバージョンを削除して入れなおせば復旧します。(2005-12-08追記)こちらはもっと早く、1.4.*のいつごろからか修正されていました。

Mac OS 9以前やMac OS XのClassic環境をお使いの方へ

Mac OSに付属のJava VMであるMRJには、たびたびシャレにならないセキュリティホールが発見されています。最新版にバージョンアップすることを強くお勧めします。

Netscape 6/7をお使いの方へ(Mac OSを除く)

Netscape 7.1に付属のJREにはセキュリティホールが見つかっています。Netscapeの新しいバージョンはリリースされる見込みがなくなりましたが、JREを単独で更新することはできるので、必ず更新しておくことをお勧めします。もっともJREだけ更新しても本体(Mozilla 1.4相当)のセキュリティホールは当然なくなりません。

Netscape 6.xに付属のJREに、セキュリティホールが見つかっています。Netscape 7(以降)へバージョンアップすることをお勧めします。

Mac OSでは、Netscape 6/7はOSに付属のJava/MRJを使用します。

Netscape Communicator 4.x(かそれ以前のバージョン)をお使いの方へ

4.8以前のバージョンに組み込みのJava VMにセキュリティホールが見つかっています。つまりNetscape Communicatorに組み込みのVMはリリースされているすべてのバージョンで脆弱性があります。

4.79以前のバージョンに組み込みのJava VMにセキュリティホールが見つかっています。

Windows版のCommunicator 4.78以降では、最新のJREをインストールしてJava VMとしてJava Plug-inを選択することで回避できます。

Mac OS (9以前)版のCommunicator 4.76以降では、Java VMとしてMRJを選択することで回避できるかもしれません(Appleの発表がないためMRJにこのセキュリティホールがあるかどうかは不明)。

4.74以前には強烈なセキュリティホールが見つかっています。また4.74〜4.76には、ブックマークファイルの日本語が破壊されて文字化けするという不具合が見つかっています。以上の理由から4.78(以降)へバージョンアップすることをお勧めします。

WindowsのInternet ExplorerでJavaをお使いの方へ

WindowsのInternet ExplorerでJavaアプレットの表示に使われていたMicrosoft VMには、たびたびセキュリティホールが発見されています。Microsoft VMがインストールされている場合、Windows Updateで常に最新版に更新しておくことをお勧めします。2008-12-16現在の最新バージョンはBuild 3810です。

または最新のJREをインストールしてお使いください。

(2000/11/14)Build 3319に更新するとセキュリティホール修正の副作用で、下記の記述例のようにOBJECTを使ったアプレットが閲覧不可能になるようです。なんてこったい。(2000/11/15)VMのBuildではなくIEを5.5 SP1に更新したことが原因でした。どっちにしても困りますが。(2001/04/14)IE 5.01 SP2でも動かなくなるようです。IE 6.0βでは修正されていました。