又是一周，又一个Java安全漏洞被发现

波兰一家新创建的公司Security Explorations最近发现了Java又一个安全漏洞，黑客可以通过此漏洞避开一些关键性的安全检查措施。受该漏洞影响的Java版本包括Java SE 5、6和7。据该公司透露，以下是容易受到攻击的Java版本：

• Java SE 5 Update 22 (build 1.5.0_22-b03)
• Java SE 6 Update 35 (build 1.6.0_35-b10)
• Java SE 7 Update 7 (build 1.7.0_07-b10)

Security Explorations 公司的Adam Gowdiak这样写道：“该漏洞是非常危险的——我们已经成功地开发并完成了一套，可运行于Java SE 5、6和7环境中的Java安全沙盒。”

Security Explorations在一台32位Windows 7系统上，分别对Chrome、Firefox、IE、Opera和Safari进行了漏洞检测试验。Gowdiak对InfoQ确认道：“虽然试验只是在32位的Windows 7系统上进行，但该漏洞是与平台无关的，只要该平台上安装有内置Java插件的浏览器，那么该漏洞都会出现。”

至于该漏洞会允许黑客们做些什么，Gowdiak告诉InfoQ：

一些恶意的Java applet或者应用程序可以在没有限制的情况下在Java进程中运行，比如浏览器。这样，黑客们便可以在这样的进程中安装一些程序，并使用登陆用户的权限来查看、修改甚至删除数据。作为验证，我们成功的创建了一个文件并执行了“notepad.exe”。

Security Explorations已经找到了50处由该漏洞引起的瑕疵，可查看关于此问题的时间线。对于这50处瑕疵，Gowdiak告诉我们：

• 31处已经报告给了Oracle（17种完全绕过沙箱漏洞）
• 2处报告给了Apple（1个完全绕过沙箱漏洞）
• 17处报告给了IBM（10中完全绕过沙箱漏洞）

上个月，Oracle又发现了另外一处，并为其打了一个patch。据报道，Oracle在4个月前就已经意识到了这个最新安全漏洞的危害性，Oracle也已经确认了该漏洞的存在。Gowdiak还表示，他们正在评估修复方案，希望在Java SE的下次（2012年10月16号）更新发布中会包含此修复。对此，我们已经联系过了Oracle，但到此文发布时，仍然没有收到任何回复。

查看英文原文：Another Week, Another Java Security Issue Found

感谢贾国清对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作，请邮件至[email protected]。也欢迎大家通过新浪微博（@InfoQ）或者腾讯微博（@InfoQ）关注我们，并与我们的编辑和其他读者朋友交流。