一家波兰安全公司向Oracle报告了浏览器插件中的两个新漏洞,该公司以根除Java漏洞而闻名。
在其bug报告状态页Security Explorations指出,它已经向Oracle提交了漏洞的细节,包括概念验证利用代码。
“我们对2月19日发布的甲骨文Java SE 7软件又进行了一次调查,”亚当·高迪亚克(Adam Gowdiak)在今天回复问题的电子邮件中说。“因此,我们发现了两个新的安全问题,当它们结合在一起时,可以成功地在Java SE 7 Update 15 (1.7.0_15-b03)环境中获得一个完整的Java安全沙箱绕过。”
Oracle在2月19日发布了Java 7 Update 15 (7u15),其中包含了在2月1日紧急更新中首次发布的补丁,并修复了另外五个漏洞。
Gowdiak在另一封邮件中说,新的漏洞只影响Java 7。Java 6 (Oracle已经正式退出支持)不包含这些bug。
Java面临着越来越多的“零日”漏洞,这些漏洞在这些漏洞被修补之前就被不法分子利用了,甚至被供应商知道了。甲骨文今年已经被迫两次推出补丁来弥补这些漏洞。
甲骨文最近的尴尬源于包括Facebook在内的几家主要科技公司的一连串声明,苹果和微软黑客利用Java的一个漏洞劫持了他们工程师的电脑,包括mac电脑。
这些攻击源自iOS开发者的热门在线论坛iPhoneDevSDK,黑客之前曾侵入该论坛,然后设置该论坛开展“驾车”攻击与Java开发。
Gowdiak今天说:“得知这么多高科技公司成为Java安全漏洞的受害者,我们真的很惊讶。”“看起来,我们自2012年4月以来发布的有关Java安全问题的警告,在整个硅谷都没有听到。”
Gowdiak证实,最新的漏洞可以组合起来绕过Java的防漏洞“沙箱”技术,并用于攻击安装了Java插件的浏览器的机器。他拒绝透露更多关于Oracle补丁的信息,只是说他们涉及Java的反射API(应用程序编程接口)。
尽管没有进一步的细节,但一切都表明球在甲骨文的球场上。再次,”Gowdiak说。
不足为奇的是,其他安全专家今天再次敦促用户禁用甚至卸载Java。
“这是我们现在能给你的最好的建议:如果你不需要在浏览器中启用Java……现在把它关掉,”Sophos的高级技术顾问格雷厄姆·克卢利(Graham Cluley)在发给他的邮件中说公司的博客.“许多在浏览器中启用了Java的人根本不需要它,所以对许多人来说,最好的解决方案是将Java完全从浏览器中移除。”
安全专家长期以来一直呼吁甲骨文加强其Java安全游戏,但零日浪潮引发了更积极的建议,包括从头开始重做Java.
就甲骨文而言,它已经做出了承诺加速修补但到目前为止,他们只承诺在2013年每四个月增加一个补丁日。
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer,在Google +或订阅格雷格的RSS提要.他的电子邮件地址是gkeizer@computerworld.com.
看到Gregg Keizer在Computerworld.com报道.
阅读更多关于恶意软件和漏洞的信息在计算机世界的恶意软件和漏洞主题中心。
这篇题为“研究人员发现了两个新的Java零日bug”的文章最初是由《计算机世界》 .