Appleは最近、Mac OS XにおけるJavaのセキュリティ脆弱性への対策を強化するため、SafariとJava SE 6の最新バージョンのアップデートを公開し、複数の脆弱性を修正しました。SafariとJavaのアップデートはそれぞれ2つのバージョンが用意されており、1つはMac OS X 10.6 Snow Leopard用、もう1つは10.7 Lionおよび10.8 Mountain Lion用です。
Safariの両バージョン(Snow Leopard版Safari 5.1.9、Lion版Safari 6.0.4以降)では、サイトごとにJavaプラグインの実行を可能にする新しい仕組みが導入されています。WebサイトでJavaアプレットを見つけると、アプレットの実行を許可するかブロックするかを尋ねられます。「ブロック」ボタンをクリックすると、そのWebサイトでのJavaプラグインの実行は常にブロックされます。ただし、Safariの環境設定にある新しいサイトごとのJava管理設定で、この動作を切り替えることができます。
Safari > 環境設定を選択し、「セキュリティ」タブをクリックして、「Javaを許可」オプションの右側にある「Webサイト設定を管理」ボタンをクリックします。新しいパネルが表示され、Javaプラグインが検出されたWebサイトが一覧表示されます(Webサイトを手動で追加することはできません)。ポップアップメニューをクリックして、そのサイトに対するJavaアクセスレベルを4段階(使用前に確認、常にブロック、許可、常に許可)から選択します。
「常にブロック」と「常に許可」のオプションは、動作がかなり単純で、前者ではJavaプラグインが毎回停止され(ただし、Webサイトの残りの部分はレンダリングされます)、後者では常に起動されます。ただし、Appleは「常に許可」オプションは、企業のイントラネットサイトなど、完全に信頼できるサイトにのみ使用すべきだと警告しています(TidBITSの私たちも同意見です)。
「使用前に確認」オプションを選択すると、Javaプラグインが見つかるたびに許可するかブロックするかを確認する初期動作に戻ります。ただし、確認時にJavaプラグインの実行をブロックすることを選択した場合、Safariの環境設定でそのWebサイトは「常にブロック」とマークされます。つまり、一度だけプラグインをブロックすることはできません(ただし、Safariの環境設定に戻って再度許可することは可能です)。
「許可」を選択した場合、現在インストールされているJavaのバージョンに重大なセキュリティ問題がない限り、Javaプラグインは問題なく実行されます。アップデートが利用可能な場合は、そのバージョンをダウンロードするように指示されます。
Safari 6.0.4 では、Java オプションに加えて、2013 年 3 月に Pwn2Own ハッキング コンテストで発見された WebKit 関連のゼロデイ脆弱性も修正されています。Apple のアップデートに関するセキュリティ ノートによると、このアップデートでは、一般的な「予期しないアプリケーションの終了または任意のコードの実行」につながる可能性のある SVG ファイルのセキュリティホールが閉じられます。
Javaに関しては、Java for OS X 2013-003 (63.92 MB) と Java for Mac OS X 10.6 Update 15 (63.39 MB) の両方でJava SE 6がバージョン1.6.0_45にアップデートされ、以前のバージョンのJava (バージョン1.6.0_43) で発見された多数の脆弱性が解消されています。これらのアップデートは最新バージョンのJava SE 7に加えられた変更を反映しています。Appleはバージョン7で独自バージョンのJavaのリリースを停止したため、Java SE 7はOracleのWebサイトからのみ入手可能です(1.7.0_21のリリースノートを参照)。
これらのアップデートはすべて、App Storeアプリ(LionおよびMountain Lion)またはソフトウェア・アップデート(Snow Leopard)から、あるいは直接ダウンロードで入手できます。ただし、Safari 6.0.4はMac App Storeからダウンロードする必要があります。Javaアップデートについては、インストール前にすべてのWebブラウザとJavaアプリケーションを終了するようAppleから注意喚起されています。
前回のJavaアップデートでもお伝えしたように、重要なアプリケーションでJavaに依存していないのであれば、今こそシステムからJavaを完全に削除する良い機会かもしれません。Javaを使用している主要なアプリには、CrashPlan、Adobe Creative Suite、Minecraft、OpenOfficeなどがあります。このますます問題となっている技術をMacから排除する方法については、Rich MogullによるMacworldの記事「Javaの無効化」をご覧ください。この記事には、Safari、Chrome、FirefoxブラウザでJavaの使用を隔離する方法も記載されています。