Oracleは2012年10月16日(火)にJavaをアップデートし、Appleもその翌日に追随しました。AppleのJava for Mac OS X 10.6 Update 11は、MacからJavaを排除するためのAppleの取り組みの最新のものです。
これは、iPad と iPhone (Lion 以降は Mac) に Flash を残しておきたいという Apple の願望を思い出させます。また、Flash の場合と同様に、Java はセキュリティ上のリスクが大きすぎるというのが Apple の考えのようです。
過去 1 年間に発見された Mac 向けトロイの木馬や脆弱性の多くは、Java コードに関連しています。
これらの最新の Java アップデートでは合計 30 個のセキュリティ ホールが修正され、そのうち 1 つを除いてすべてリモート コード実行が許可されます。
Sophos のアドバイスは、「Java を完全に削除する」か「ブラウザから禁止する」というものです。
「ブラウザから Java を排除することで、Web ページに埋め込まれた特別な簡素化された Java プログラムである悪意のあるアプレットのリスクを排除できます」というのが、Sophos の Naked Security ブログでのアドバイスです。
Sophos は、Apple が講じてきた措置について次のように指摘しています。
まず、OS X Lion では、Java がプリインストールされた OS X の出荷が停止されました。
その後、Apple は、しばらく Java を使用していない場合にはブラウザに Java をオフにするように指示するアップデートをリリースしました。
Apple は最新のセキュリティアップデートでさらに積極的になり、ブラウザプラグインコンポーネントを完全に削除しました。
Apple の Web サイトの注記には、「このアップデートにより、すべての Web ブラウザに Apple 提供の Java アプレット プラグインがインストールされます」と説明されています。Apple は、Web ページでアプレットを見つけた場合は、「『プラグインがありません』というラベルの付いた領域をクリックして、Oracle から最新バージョンをダウンロードしてください」と推奨しています。
AppleがJavaランタイムの管理方法を設定できるJava設定ユーティリティを削除したという事実に疑問を呈する報道が一部でなされています。Cnetによると、Java設定ユーティリティはMountain Lionからは削除されましたが、これまでLionには搭載されていました。
Java なしでは生きていけないと判断した場合は、Apple の Java と並行して Oracle の Java ランタイムをインストールする必要があります。
4月には、Javaの脆弱性を利用してユーザーのコンピュータにインストールされていたFlashbackトロイの木馬に、60万台以上のMacが感染したと報告されました。その後8月には、Javaの脆弱性によりMacが再び危険にさらされましたが、今回はMacユーザーにとって朗報がありました。Appleが行った変更のおかげで、ほとんどのMacユーザーはこの脅威から守られたのです。
TwitterでKaren Haslamをフォロー / TwitterでMacworldUKをフォロー
関連している:
ダイジェスト: Mac Flashback Trojanの歴史
