Java最近的一次更新仍然暴露出足以繞開(kāi)沙箱保護(hù)的嚴(yán)重漏洞，來(lái)自Security Explorations的研究人士指出。

來(lái)自波蘭安全漏洞研究機(jī)構(gòu)Security Explorations的研究人員聲稱(chēng)，他們?cè)贘ava 7 Update 11中發(fā)現(xiàn)了兩個(gè)新的漏洞，足以被攻擊者用于回避軟件的安全沙箱機(jī)制并在計(jì)算機(jī)上執(zhí)行任意代碼。

甲骨文公司于上周日剛剛放出Jave 7 Update 11緊急安全更新補(bǔ)丁，旨在修正已經(jīng)被用于惡意軟件傳播的零日漏洞。

Security Explorations已經(jīng)成功在Java安全沙箱環(huán)境中實(shí)現(xiàn)了惡意活動(dòng)模擬，這一過(guò)程在Java 7 Update 11更新后仍然有效(JRE版本1.7.0_11-b21)。本次模擬借助的是由研究人員們剛剛發(fā)現(xiàn)的兩個(gè)全新漏洞，該公司創(chuàng)始人Adam Gowdiak在周五發(fā)給Full Disclosure的郵件中提到。他同時(shí)表示，兩個(gè)漏洞已經(jīng)連同證明漏洞存在的攻擊代碼被立即提交給甲骨文公司。

根據(jù)Security Explorations的披露政策，此次安全漏洞的技術(shù)細(xì)節(jié)在供應(yīng)商發(fā)布新補(bǔ)丁之前不會(huì)被公開(kāi)。

供職于安全企業(yè)Immunity公司的研究人員同樣在對(duì)以往惡意活動(dòng)的分析中有所斬獲。通過(guò)對(duì)兩個(gè)安全漏洞的組合，他們也成功避開(kāi)了Java沙箱的束縛。在Java 7 Update 11補(bǔ)丁發(fā)布后，他們?cè)诓┛椭行Q(chēng)原先利用的兩個(gè)漏洞只空有一個(gè)得到修復(fù);一旦攻擊者發(fā)現(xiàn)了另一個(gè)替代性漏洞，新的攻擊手段將很快出現(xiàn)。

更可怕的是，Gowdiak在周五發(fā)出的郵件中明確表示，Security Explorations所發(fā)現(xiàn)的兩個(gè)新漏洞與甲骨文Java 7 Update 11未修正的老漏洞并無(wú)交集——換言之，升級(jí)到最新版本的Java至少擁有三個(gè)安全漏洞。

盡管Java 7 Update 11已經(jīng)發(fā)布，但包括美國(guó)計(jì)算機(jī)應(yīng)急小組(簡(jiǎn)稱(chēng)US-CERT)在內(nèi)的許多安全研究人員都建議用戶(hù)禁用瀏覽器中的Java插件，并警告稱(chēng)未來(lái)可能會(huì)發(fā)生多起圍繞Java展開(kāi)的攻擊事件。

“大家對(duì)于Java SE 7的代碼質(zhì)量顯然有些擔(dān)心，”Gowdiak指出。這可能意味著甲骨文公司對(duì)于Java及其它一些內(nèi)部項(xiàng)目缺乏必要的安全開(kāi)發(fā)生命周期管理。

在Gowdiak看來(lái)，Java 7 Update 11最大的突破在于將Java插件設(shè)定為默認(rèn)關(guān)閉，并在需要時(shí)提示用戶(hù)暫時(shí)性啟用——這才是正確的思維方式，也有助于提高用戶(hù)對(duì)攻擊活動(dòng)的抵御能力。