在披露了两个Java漏洞一周后,一家波兰安全公司报告称,在最新版本的Java中又发现了五个漏洞。如果一起使用,这些新漏洞可以绕过技术的沙箱,从而安装恶意软件。
【安全:15个免费的安全工具,你应该试试]
安全探索周一通知Oracle Java SE 7 Update 15中的漏洞。除了缺陷的细节,Security Explorations还提供了概念代码的证明。
甲骨文没有回应记者的置评请求。
此外,该公司表示,这些缺陷并不构成安全问题。但是,当将它们链接在一起时,可以使某些人绕过Java的反攻击沙箱技术。Security Explorations表示,尚未看到这些漏洞被公开利用。
最新的漏洞报告紧随其后一周后同一家公司报告Oracle最新插件中的另外两个漏洞用于在浏览器中运行Java应用程序。
Oracle在2月19日发布了Java SE 7 Update 15,并在2月1日发布的紧急更新中捆绑了修复其他五个缺陷的补丁。下一次定期更新是4月16日。
这一最新发现是在Oracle拒绝了Security Explorations 2月25日报告的一个漏洞之后。“这让我们再次研究Java SE 7代码及其文档,收集反驳材料,”该公司首席执行官亚当·高迪亚克(Adam Gowdiak)说,在SecLists.org上的一篇文章中说.
Gowdiak说,其中两个漏洞也可能影响到Java SE 6。“但是,由于所有的问题都需要结合在一起,才能获得成功的Java SE安全妥协,所以我们认为它只影响Java SE 7。”
[也看到:专家称,甲骨文的Java安全更新不足]
在本月发布的Java SE 7更新中,Oracle表示将加快Java的补丁周期大量的剥削在野外通过零日漏洞。零日漏洞是指软件供应商尚未修补的漏洞。
“Oracle的目的是继续加速Java补丁的发布,特别是帮助解决桌面浏览器中的Java运行时环境的安全性问题,”Oracle软件保证总监Eric Maurice说。在一篇博客文章中说.
Oracle每四个月发布一次Java更新。根据新的计划,它将每两个月发布一次更新。
几个月来,安全专家建议人们在所有浏览器中禁用Java,因为只有少数网站仍在使用应用程序平台。在极少数情况下,当Java需要运行特定的应用程序时,专家建议专用于一个浏览器来实现这个目的。
这篇题为“在最新版本的Java中发现的五个新缺陷”的文章最初是由方案 .