先日、Java 7について「細工された Java アプレットが埋め込まれたウェブページを開くことで、任意の OS コマンドが実行される」という不具合が明らかにされました。
対応策として、修正パッチの準備が整うまでJava 7を無効にするよう呼びかけられていましたが、今日になりこの問題を修正した「Java 7 Update 7」が緊急リリースされました。
Java 7をお使いの方は、一刻も早くアップデートをインストールするようにして下さい。
普通日本人が文書を書くとき大抵文字コードはシフトJISですが、ローカライズ業務やWEB業務では大抵ユニコード(utf-8またはutf-16)ですよね。中国語だろうが韓国語だろうが大抵の文字は埋め込めるので楽ちんなわけですが、それらのユニコードテキストファイルを読み込んで操作するプログラムを書くとき、いろいろはまることがあります。
今日は「半角スペース(U+0020)」と「ノーブレークスペース(U+00A0)」が混在したテキストではまりました。実体参照で書いてあればいいんですが文字そのものが入っていると普通のエディタで開いても一見同じ半角スペースなので違いが分からないんですよね。
Oracle Java 7に「細工された Java アプレットが埋め込まれたウェブページを開くことで、任意の OS コマンドが実行される」という不具合が発見されました。
8/28-18時現在、この問題を修正するパッチは公開されていません。Oracleが問題を解決するまで、ブラウザのJavaプラグインを無効にすることをおすすめします。
プラグインを無効にする方法や不具合の詳細については、JPCERT/CCが運営するJapan Vulnerability Notesをご覧下さい。