就在Java披露两项安全漏洞的仅仅一周之后,一家波兰安全企业再次发布报告,称在Java最新版本中另外发现五项漏洞。在旧有漏洞的影响之下,攻击者能够利用新问题绕过Java的沙箱机制并安装恶意软件。
Security Explorations公司于本周一通知甲骨文,称其Java SE 7 Update 15中存在大量安全漏洞。除了关于漏洞的细节信息之外,Security Explorations还提供了相关概念的验证代码。
甲骨文目前还没有对此事发表评论。
该公司称此次发现的几项漏洞本身并不会引发安全问题;然而当与之前曝出的其它隐患结合之后,它们就可能成为攻击者的跳板、借以绕过Java所采用的反恶意沙箱技术。Security Explorations公司宣称目前还没有发现外界攻击者使用这些漏洞的迹象。
此次最新漏洞报告与该公司上一次公布的安全声明仅相隔一周,这两次隐患报告指向的目标皆为甲骨文针对Java应用在浏览器环境中的运行所推出的最新插件。
甲骨文公司于今年二月正式发布Java SE 7 Update 15,并于同月十九号紧急推出捆绑式补丁更新,旨在迅速修复当时曝出的五项安全漏洞。根据计划,下一次定期更新将于四月十六号进行。
今年二月二十五号甲骨文驳回了Security Explorations公司所提交的一项bug,后者旋即开展了最新一轮安全测试。“对方要求我们重新审查Java SE 7的代码及其说明文档,并进一步收集论据材料,”Security Explorations公司首席执行长Adam Gowdiak在SecLists.org的一篇博文中表示。
此次提交的漏洞中有两项可能还会波及Java SE 6,Gowdiak指出。“但由于各项漏洞只有在同时存在时才会真正给Java SE带来安全问题,所以我们只将其列为Java SE 7的待处理隐患。”
在本月发布Java SE 7更新之时,甲骨文宣称考虑到零日漏洞在过去一段时间内被大规模利用所造成的严重负面影响,公司将缩短Java的补丁发布周期。目前仍有一项零日漏洞未得到这家软件供应商的修复。
“甲骨文公司的目的在于进一步加快Java修复补丁的发布速度,特别是帮助桌面浏览器中的Java Runtime Environment迅速恢复安全价值,”甲骨文公司软件保障部门主管Eric Maurice在一篇博文中如是说。
甲骨文过去一直以四个月为周期提供Java更新。而在新规划的指引下,安全更新周期将被缩短为两个月。
几个月以来,很多安全专家都在建议用户禁用浏览器中的Java插件,因为这类程序平台目前只存在于少数网站当中。如果万不得已必须要运行Java以迎合特定应用时,专家建议大家利用单独一款浏览器专门处理这类任务。