Java SE 7 Update 7までに存在する脆弱性を突く攻撃が国内Webサイトで発生しているとのこと。

JPCERTコーディネーションセンター（JPCERT/CC）は2012年11月14日、米オラクルのJava実行基盤「Java SE 7」（Java Platform Standard Edition version 7）の既知の脆弱性を突く攻撃によって、実際に国内Webサイトが改ざんを受ける被害を確認したことを公表し、ユーザーに注意を呼びかけた。
オラクルが10月16日（現地時間）に公開したJava SE Development Kit（JDK）およびJava SE Runtime Environment（JRE）に関する脆弱性のうち、Java 7を対象とする脆弱性が攻撃に使われたという。後述する最新版のJava 7を使っていない場合、同攻撃によって遠隔からサーバー上で任意のコードを実行される危険がある。
JPCERT/CCによれば、同攻撃によって「国内の正規Webサイトが改ざんされ、サイトにアクセスしたユーザーを攻撃サイトに転送し、マルウエアに感染させようとするインシデント報告を受けた」という（サイト名などは非公表）。また、同脆弱性を利用した攻撃機能が一部の攻撃用ツールキット（Exploit Kit）に組み込まれていることも確認したとしている。
同攻撃への対処策は、オラクルが提供済みの最新版Java 7である「Java SE 7u9」（Java SE version 7 update 9）へアップデートすること。JPCERT/CCで実際に環境（Windows 7 ＆ Internet Explorer 9）を用意して検証してみたところ、JRE 7 Update 7のままの状態では任意のコードが実行されたが、JRE 7 Update 9では実行されないことを確認できたという。

Java 7の既知の脆弱性狙った攻撃による国内ユーザー被害が発生、JPCERT/CCが注意喚起 | 日経 xTECH（クロステック）