波兰漏洞研究公司Security Explorations的研究人员称,他们在Java 7 Update 11中发现了两个新的漏洞,可以利用它们绕过该软件的安全沙箱,在计算机上执行任意代码。
甲骨文发布了Java 7 Update 11上周日作为紧急安全更新,以阻止网络罪犯利用的零日漏洞用恶意软件感染电脑。
该公司的创始人Adam Gowdiak周五表示,安全探索成功地证实,在Java 7 Update 11 (JRE version 1.7.0_11-b21)下,通过利用公司研究人员发现的两个新漏洞,仍然可以实现完整的Java安全沙箱绕过一个消息发送到“充分披露”邮件列表。他说,这些漏洞已于周五报告给甲骨文,同时还报告了正在工作的概念验证漏洞代码。
根据Security Explorations的披露政策,有关漏洞的技术细节在供应商发布补丁之前不会公开披露。
安全公司Immunity的研究人员分析了自上周以来网络犯罪分子使用的漏洞,得出结论称,它还结合了两个漏洞,实现了Java沙箱越狱。不过,他们后来在一篇博客文章中说Java 7 Update 11只解决了其中一个漏洞,并警告说,如果攻击者发现另一个漏洞来替换已修补的漏洞,就会创建一个新的漏洞。
Gowdiak周五在电子邮件中说,Security Explorations发现的漏洞与Oracle在Java 7 Update 11中未修补的漏洞是分开的。
一些安全研究人员,包括来自美国计算机应急小组(US-CERT)的人员,继续建议用户禁用Java尽管Java 7 Update 11已经发布,但浏览器插件仍然存在,原因是担心将来可能会发生类似的攻击。
Gowdiak说:“Java SE 7的代码质量确实令人担忧。他说,这可能意味着缺乏合适的Java安全开发生命周期程序,或者是Oracle内部存在的其他问题。
Gowdiak表示,Java 7 Update 11在允许在浏览器中执行Java applet之前要求用户确认,这无疑是朝正确方向迈出的一步,可以阻止许多攻击。