4月11日消息，兩位研究人員星期五（4月9日）發(fā)布警告稱，Java技術(shù)中存在一個(gè)安全漏洞。如果用戶訪問一個(gè)托管惡意代碼的網(wǎng)頁，攻擊者就可以利用這個(gè)安全漏洞并且攻破運(yùn)行Windows操作系統(tǒng)的計(jì)算機(jī)。

    谷歌工程師Tavis Ormandy在“Full Disclosure”（全面披露）電子郵件列表中發(fā)布了這個(gè)安全漏洞的細(xì)節(jié)。Wintercore工程師Ruben Santamarta在該公司播客網(wǎng)站上也發(fā)表了類似的文章。

    Ormandy說，這個(gè)安全漏洞存在于“Java Web Start”框架中。這個(gè)框架能夠讓開發(fā)人員更容易地編寫應(yīng)用程序。關(guān)閉這個(gè)Java插件能夠防止攻擊。

    Ormandy說，這個(gè)工具僅提供極少的URL參數(shù)驗(yàn)證，使我們能夠向“Java Web Start”工具注入任意參數(shù)，從而通過命令行參數(shù)提供足夠的功能，使這個(gè)安全漏洞能夠被利用。這個(gè)錯(cuò)誤這樣容易被發(fā)現(xiàn)時(shí)我相信發(fā)布這個(gè)文件是符合除了廠商之外的所有人的利益的。

    據(jù)卡巴斯基實(shí)驗(yàn)室稱，這個(gè)安全漏洞影響到目前所有版本的Windows和主要的瀏覽器，如火狐、IE和Chrome瀏覽器。

    Ormandy說，他已經(jīng)通知Sun微系統(tǒng)公司有關(guān)這個(gè)安全漏洞的事情，但是，Sun告訴他說Sun認(rèn)為這個(gè)安全漏洞的優(yōu)先等級(jí)還不足以使該公司在每季度發(fā)布補(bǔ)丁的周期之外額外發(fā)布一個(gè)補(bǔ)丁。

    目前已經(jīng)收購Sun的甲骨文的代表沒有回應(yīng)星期五晚些時(shí)候要求發(fā)表評(píng)論的請(qǐng)求。