Java最近的一次更新仍然暴露出足以绕开沙箱保护的严重漏洞,来自Security Explorations的研究人士指出。
来自波兰安全漏洞研究机构Security Explorations的研究人员声称,他们在Java 7 Update 11中发现了两个新的漏洞,足以被攻击者用于回避软件的安全沙箱机制并在计算机上执行任意代码。
甲骨文公司于上周日刚刚放出Jave 7 Update 11紧急安全更新补丁,旨在修正已经被用于恶意软件传播的零日漏洞。
Security Explorations已经成功在Java安全沙箱环境中实现了恶意活动模拟,这一过程在Java 7 Update 11更新后仍然有效(JRE版本1.7.0_11-b21)。本次模拟借助的是由研究人员们刚刚发现的两个全新漏洞,该公司创始人Adam Gowdiak在周五发给Full Disclosure的邮件中提到。他同时表示,两个漏洞已经连同证明漏洞存在的攻击代码被立即提交给甲骨文公司。
根据Security Explorations的披露政策,此次安全漏洞的技术细节在供应商发布新补丁之前不会被公开。
供职于安全企业Immunity公司的研究人员同样在对以往恶意活动的分析中有所斩获。通过对两个安全漏洞的组合,他们也成功避开了Java沙箱的束缚。在Java 7 Update 11补丁发布后,他们在博客中宣称原先利用的两个漏洞只空有一个得到修复;一旦攻击者发现了另一个替代性漏洞,新的攻击手段将很快出现。
更可怕的是,Gowdiak在周五发出的邮件中明确表示,Security Explorations所发现的两个新漏洞与甲骨文Java 7 Update 11未修正的老漏洞并无交集——换言之,升级到最新版本的Java至少拥有三个安全漏洞。
尽管Java 7 Update 11已经发布,但包括美国计算机应急小组(简称US-CERT)在内的许多安全研究人员都建议用户禁用浏览器中的Java插件,并警告称未来可能会发生多起围绕Java展开的攻击事件。
“大家对于Java SE 7的代码质量显然有些担心,”Gowdiak指出。这可能意味着甲骨文公司对于Java及其它一些内部项目缺乏必要的安全开发生命周期管理。
在Gowdiak看来,Java 7 Update 11最大的突破在于将Java插件设定为默认关闭,并在需要时提示用户暂时性启用——这才是正确的思维方式,也有助于提高用户对攻击活动的抵御能力。