Java最近的一次更新仍然暴露出足以繞開沙箱保護的嚴重漏洞，來自Security Explorations的研究人士指出。

來自波蘭安全漏洞研究機構(gòu)Security Explorations的研究人員聲稱，他們在Java 7 Update 11中發(fā)現(xiàn)了兩個新的漏洞，足以被攻擊者用于回避軟件的安全沙箱機制并在計算機上執(zhí)行任意代碼。

甲骨文公司于上周日剛剛放出Jave 7 Update 11緊急安全更新補丁，旨在修正已經(jīng)被用于惡意軟件傳播的零日漏洞。

Security Explorations已經(jīng)成功在Java安全沙箱環(huán)境中實現(xiàn)了惡意活動模擬，這一過程在Java 7 Update 11更新后仍然有效(JRE版本1.7.0_11-b21)。本次模擬借助的是由研究人員們剛剛發(fā)現(xiàn)的兩個全新漏洞，該公司創(chuàng)始人Adam Gowdiak在周五發(fā)給Full Disclosure的郵件中提到。他同時表示，兩個漏洞已經(jīng)連同證明漏洞存在的攻擊代碼被立即提交給甲骨文公司。

根據(jù)Security Explorations的披露政策，此次安全漏洞的技術(shù)細節(jié)在供應商發(fā)布新補丁之前不會被公開。

供職于安全企業(yè)Immunity公司的研究人員同樣在對以往惡意活動的分析中有所斬獲。通過對兩個安全漏洞的組合，他們也成功避開了Java沙箱的束縛。在Java 7 Update 11補丁發(fā)布后，他們在博客中宣稱原先利用的兩個漏洞只空有一個得到修復;一旦攻擊者發(fā)現(xiàn)了另一個替代性漏洞，新的攻擊手段將很快出現(xiàn)。

更可怕的是，Gowdiak在周五發(fā)出的郵件中明確表示，Security Explorations所發(fā)現(xiàn)的兩個新漏洞與甲骨文Java 7 Update 11未修正的老漏洞并無交集——換言之，升級到最新版本的Java至少擁有三個安全漏洞。

盡管Java 7 Update 11已經(jīng)發(fā)布，但包括美國計算機應急小組(簡稱US-CERT)在內(nèi)的許多安全研究人員都建議用戶禁用瀏覽器中的Java插件，并警告稱未來可能會發(fā)生多起圍繞Java展開的攻擊事件。

“大家對于Java SE 7的代碼質(zhì)量顯然有些擔心，”Gowdiak指出。這可能意味著甲骨文公司對于Java及其它一些內(nèi)部項目缺乏必要的安全開發(fā)生命周期管理。

在Gowdiak看來，Java 7 Update 11最大的突破在于將Java插件設定為默認關閉，并在需要時提示用戶暫時性啟用——這才是正確的思維方式，也有助于提高用戶對攻擊活動的抵御能力。