Oracle Java 7に脆弱性が発見され、現実にそれを衝いた攻撃も確認されていることから、Javaの利用に警告がなされている。Oracleによるバージョンアップも現在のところ脆弱性に対処できていないからだという。

Javaの修正は不完全、不要な場合はJavaを無効に〜(INTERNET Watch)
必要なければJavaは無効に-今後も攻撃は続くと米機関が予想(ITmedia)
セキュリティ専門家「Javaはスクラッチで..」(COMPUTERWORLD)

　Javaは仮想マシン上で動くものだからあまりマルウェアや攻撃の影響は受けにくいと、かつては思っていたがどうもそうでもないらしい。必要なければJavaをOffにしておいた方がよいなどとは、やはり尋常ではない。Javaも近年復活してきたように感じられるのは、ネットとの関わりが深くなったせいだろう。

　かつてはサーバーサイドJavaがJavaに脚光を浴びせ、Webサービスに欠かせないものとなった。Tomcatがその象徴であったように思える。現在はWebサービスとしてPHP系に並びJava系も多い。そしてクラウドインフラ系がJavaで動いていたり、AndroidのアプリがJavaで作られている。初期のJavaアプレットくらいしかなかった頃から考えれば隔世の感がある。それだけにJavaの処理系に致命的な脆弱性に対処できていないと、その影響たるや大である。個別のアプリよりはソフトウェアのインフラそのものに影響するからである。

　しかしやはり気になるのが、Sunを買収してJavaの開発元となったOracleの対応である。脆弱性への対処が技術的に難しいのか、Oracle自身が認識が甘くあまりJavaのサポートに熱心ではないのか。Sunの時代だったら何にも優先して対処したのではないか。それにしてもJDKとOpenJDKの開発や差異についての事情もよくわからない。プログラミングの上ではあまり関わりのないことだと思えるからである。しかしプロジェクトの体制も脆弱性への対処に影響しているのだろうか。Linux系ではOpenJDKがデフォルトのような扱いになっているようだが、実行する側のOS環境は影響があるのだろうか。仮想マシンなら影響はしないはずではあるが攻撃で影響されるのはWindowsクライアントなのだろうか。今さらJavaをOffにと言われても、今後はJavaを使わないようにした方がいいのか、なにやら複雑なところではある。