1月のOracleの定例アップデート。

Oracleは、米国時間2014年1月14日に公開予定のJavaの定例アップデートで、最新版（Java 7 update 51）に2件のセキュリティ変更を実施する。これにより、変更に対応しないJavaアプレットやWeb Startがブロックされてしまうという。
同社によると、Java 7 update 51ではJavaアプレットおよびWeb Startに信頼された認証局が発行するコード署名と、ManifestにPermissions属性を設定することを義務付ける予定。これはJavaのサンドボックスが回避されてしまう危険性と署名を悪用する攻撃への対処が目的で、JavaアプレットやWeb Start以外のアプリケーションには影響しないと説明している。
今回の措置は、今年9月にセキュリティ研究者が指摘した問題への対応とみられている。英Sophosなどによれば、セキュリティ研究者はJavaのコード署名の実装方法に問題があると指摘。攻撃者がこの問題を悪用すると、Java側の認証を回避してユーザーのコンピュータへ細工したアプレットを送り込み、不正なコードを実行できてしまうという。サンドボックスを含むあらゆるセキュリティ制限が無効化されてしまうと警告していた。

Oracle、Java定例アップデートで認証強化へ アプレットなどに影響 - ITmedia エンタープライズ