在Java 最新修訂發布幾天后，安全研究員 Adam Gowdiak 就發現了另一個 Java 的漏洞。在附帶的披露文章中，Gowdiak 表示 Reflection API 缺陷會影響 Java SE 7 的全部版本，而且“可以用來在目標系統上達到完全繞過 Java 安全沙箱的目的”。該漏洞同時在插件/JDK 軟件中存在，而服務器 JRE 也未能幸免。通過 Web 瀏覽器暴露的漏洞確實要求用戶“在看到安全性警告窗口的時候，接受執行潛在地惡意 Java 應用的風險，”Gowdiak 寫道。

　　Gowdiak 宣稱他的公司 Se​curity Explorations 已經將漏洞報告及概念驗證代碼發送給 Oracle。

　　Security Explorations 最早在 2012 年 4 月與 Oracle 聯系，特別向其通報了 Java SE 7 以及 Reflections API 中的安全問題。然而 Gowdiak 認為“看起來，Oracle 重點專注于處理‘許可的’類空間中潛在的 Reflection API 危險調用”——也就是不受信任的 applet 或 Web 啟動應用程序這樣的程序能夠訪問的類。

　　由于這一最新漏洞同時也影響服務器 JRE，這讓事情變得有一些不尋常。上周，Oracle 發布了一個補丁，修復了其他 42 處缺陷，其中 19 處在公司用來評估的 CVSS 評測中得到了 10 分(最嚴重)。不過其中大部分漏洞是針對客戶端 Java 的，而且只能夠通過不受信任的 applet 或是 Web 啟動應用程序來利用這些漏洞。

　　針對這些漏洞的補丁來得很及時。從一篇 Timo Hirvonen 發表的短博文來看，或許是因為漏洞已經被添加到 CrimeBoss、Cool 和 CritX 攻擊工具，以及滲透測試產品 Metasploit 上面，使用遠程代碼執行漏洞之一(CVE-2013-2423)的攻擊已經出現。RedKit 也曽被報導過，但 Hirvonen 向 InfoQ 確認這是由F-Secure 的自動工具錯誤報告所致。

　　在該新聞之后，Java 在安全方面度過了艱難的幾個月。在數月的負面報道之后，Oracle 最近委任 Java 安全主管 Milton Smith，Smith 在 1 月份的一個電話會議中聲明Oracle 將專注于修復問題并增強與社區成員的交流。

　　繼黑客利用 Java 中的 0day 缺陷對多家公司進行攻擊后(這些公司包括 Apple、Facebook 和 Microsoft，或許還有 Twitter)，Java 再次成為了頭條新聞。

　　Oracle 需要集中更多的資源，以應對接下來與 Java 的安全問題進行的斗爭。這也被視作 JDK 8 的發布推遲到 2014 年的一個原因。

原文鏈接：http://sec.chinabyte.com/122/12626622.shtml