波蘭安全研究公司Security Explorations上周五宣布，已向Oracle提交了兩個新的Java漏洞以及概念證明代碼，這表明在上周的修補后Java中仍然存在重大安全問題。在 “大曝光”(Full-Disclosure)安全郵件列表的帖子中，Security Explorations公司首席執(zhí)行官Adam Gowdiak表示：“我們已經(jīng)明確證實，最新版本的Java 7 Update 11發(fā)布后，仍然可以完全地繞過Java安全沙箱。”

在這一周內(nèi)，Java的聲譽嚴(yán)重受損，這是本周對Java的最后一個負(fù)面影響。在這周即將結(jié)束時，Java還受到其他大事件的沖擊--卡巴斯基的安全研究人員宣布發(fā)現(xiàn)紅色十月攻擊（Red October）。以色列公司Seculert已經(jīng)證實至少有一個先前確定的Java漏洞被用在在紅色十月攻擊代碼庫中。

根據(jù)Seculert博客文章透露：在對“紅色十月”活動中使用的命令和控制服務(wù)器進行調(diào)查后，Seculert發(fā)現(xiàn)了一個特殊的文件夾，攻擊者用它作為附加的攻擊對象數(shù)組。這個攻擊對象數(shù)組使攻擊者發(fā)送有嵌入鏈接的電子郵件到特制的PHP網(wǎng)頁，該網(wǎng)頁利用了Java（CVE-2011-3544）中的漏洞。

該博客文章解釋說，該漏洞在2011年就已經(jīng)公諸于眾，當(dāng)在2012年2月被編譯到Java JAR文件時，就已經(jīng)不是什么新聞了，至少在理論上是這樣。美國國土安全部一直建議用戶禁用其電腦上的Java，即使Oracle發(fā)布了修復(fù)補丁。這個1月14日發(fā)布的更新稱“很有可能會出現(xiàn)新的Java漏洞，為了抵御當(dāng)前和未來的Java漏洞，您可以考慮禁用Web瀏覽器中的Java，直到出現(xiàn)全面的更新。”就在第二天，Security Explorations就“禮貌地”宣布發(fā)現(xiàn) “未來Java漏洞”的其中兩個。

對于那些禁用了Java的用戶，有些人不愿意在太短時間內(nèi)重新啟用Java。Rapid7首席安全官兼Metasploit首席架構(gòu)師HD Moore表示，“Oracle花了一年時間才解決了Security Explorations發(fā)現(xiàn)的部分特權(quán)升級問題，按這個速度，可能還需要兩年時間才能完全將這類漏洞從代碼庫根除。”

Moore指出，Java的部分問題在于其沙箱版本有點老掉牙：“在設(shè)計該Java沙箱時，當(dāng)時桌面用戶面臨的威脅完全不同。目前這一代沙箱（Chrome、Adobe、IE）部署更高級，它們限制了沙箱進程的活動，而不是試圖在自身運行時間內(nèi)加強所有邏輯。Java的沙箱仍然是以前的，只需要一個邏輯漏洞或者某種形式的內(nèi)存損壞就可以在用戶的環(huán)境內(nèi)讓網(wǎng)頁運行代碼。”他舉出一個例子，雖然windows 8在瀏覽器安全方面得到了很大改進，仍然可能成為當(dāng)前Java漏洞的“獵物”，并產(chǎn)生一個遠(yuǎn)程shell。

盡管有重大安全問題，專家表示，要求IT永遠(yuǎn)遠(yuǎn)離Java都是不可行的。Promisec聯(lián)合創(chuàng)始人兼產(chǎn)品開發(fā)執(zhí)行副總裁Hilik Kotler表示，建議簡單地禁用關(guān)鍵軟件工具是不可行的。“本周是Java出現(xiàn)安全問題，而兩周之前是IE，兩個月之前還是Adobe，”Kotler認(rèn)為管理漏洞并不意味著改變員工習(xí)慣的工作環(huán)境。他建議禁用該軟件“是當(dāng)你沒有合適工具時，最簡單的解決方案”。