在Java 最新修訂發(fā)布幾天后，安全研究員 Adam Gowdiak 就發(fā)現(xiàn)了另一個(gè) Java 的漏洞。在附帶的披露文章中，Gowdiak 表示 Reflection API 缺陷會(huì)影響 Java SE 7 的全部版本，而且“可以用來(lái)在目標(biāo)系統(tǒng)上達(dá)到完全繞過(guò) Java 安全沙箱的目的”。該漏洞同時(shí)在插件/JDK 軟件中存在，而服務(wù)器 JRE 也未能幸免。通過(guò) Web 瀏覽器暴露的漏洞確實(shí)要求用戶“在看到安全性警告窗口的時(shí)候，接受執(zhí)行潛在地惡意 Java 應(yīng)用的風(fēng)險(xiǎn)，”Gowdiak 寫(xiě)道。

　　Gowdiak 宣稱他的公司 Se​curity Explorations 已經(jīng)將漏洞報(bào)告及概念驗(yàn)證代碼發(fā)送給 Oracle。

　　Security Explorations 最早在 2012 年 4 月與 Oracle 聯(lián)系，特別向其通報(bào)了 Java SE 7 以及 Reflections API 中的安全問(wèn)題。然而 Gowdiak 認(rèn)為“看起來(lái)，Oracle 重點(diǎn)專注于處理‘許可的’類空間中潛在的 Reflection API 危險(xiǎn)調(diào)用”——也就是不受信任的 applet 或 Web 啟動(dòng)應(yīng)用程序這樣的程序能夠訪問(wèn)的類。

　　由于這一最新漏洞同時(shí)也影響服務(wù)器 JRE，這讓事情變得有一些不尋常。上周，Oracle 發(fā)布了一個(gè)補(bǔ)丁，修復(fù)了其他 42 處缺陷，其中 19 處在公司用來(lái)評(píng)估的 CVSS 評(píng)測(cè)中得到了 10 分(最嚴(yán)重)。不過(guò)其中大部分漏洞是針對(duì)客戶端 Java 的，而且只能夠通過(guò)不受信任的 applet 或是 Web 啟動(dòng)應(yīng)用程序來(lái)利用這些漏洞。

　　針對(duì)這些漏洞的補(bǔ)丁來(lái)得很及時(shí)。從一篇 Timo Hirvonen 發(fā)表的短博文來(lái)看，或許是因?yàn)槁┒匆呀?jīng)被添加到 CrimeBoss、Cool 和 CritX 攻擊工具，以及滲透測(cè)試產(chǎn)品 Metasploit 上面，使用遠(yuǎn)程代碼執(zhí)行漏洞之一(CVE-2013-2423)的攻擊已經(jīng)出現(xiàn)。RedKit 也曽被報(bào)導(dǎo)過(guò)，但 Hirvonen 向 InfoQ 確認(rèn)這是由F-Secure 的自動(dòng)工具錯(cuò)誤報(bào)告所致。

　　在該新聞之后，Java 在安全方面度過(guò)了艱難的幾個(gè)月。在數(shù)月的負(fù)面報(bào)道之后，Oracle 最近委任 Java 安全主管 Milton Smith，Smith 在 1 月份的一個(gè)電話會(huì)議中聲明Oracle 將專注于修復(fù)問(wèn)題并增強(qiáng)與社區(qū)成員的交流。

　　繼黑客利用 Java 中的 0day 缺陷對(duì)多家公司進(jìn)行攻擊后(這些公司包括 Apple、Facebook 和 Microsoft，或許還有 Twitter)，Java 再次成為了頭條新聞。

　　Oracle 需要集中更多的資源，以應(yīng)對(duì)接下來(lái)與 Java 的安全問(wèn)題進(jìn)行的斗爭(zhēng)。這也被視作 JDK 8 的發(fā)布推遲到 2014 年的一個(gè)原因。

原文鏈接：http://sec.chinabyte.com/122/12626622.shtml