研究人员在发布后发现Java 7补丁时间中的严重漏洞

来自波兰的安全公司Security Explorations的安全研究人员声称已发现周四发布的Java 7安全更新中的一个漏洞，该漏洞可被利用来逃离Java沙盒并执行任意代码安全公司的创始人兼首席执行官Adam Gowdiak周五通过电子邮件表示，安全探索周五发送了一份关于该漏洞的报告以及概念验证漏洞利用，

该公司并没有Gowdiak表示，计划在甲骨文解决该漏洞之前公布有关该漏洞的任何技术细节。[更多阅读：如何删除恶意软件您的Windows PC]

Oracle于周四发起了为期四个月的修补程序周期，以发布Java 7 Update 7这一紧急安全更新，解决三个漏洞上周

Java 7 Update 7还修补了一个“深度安全问题”，根据Oracle的说法，这个问题不能直接利用，但可能会被用来加剧其他漏洞的影响。 Gowdiak称之为“开发向量”的“安全深入问题”，使得所有概念验证（PoC）Java虚拟机（JVM）安全性绕过了之前由波兰安全公司提交给Oracle的攻击根据Gowdiak的说法，Security Explorations在4月份私下向Oracle报告了Java 7中的29个漏洞，其中包括现在被攻击者积极利用的两个漏洞。

报告中伴随着16个证明漏洞，的-conce这些漏洞可以将这些漏洞组合起来，完全绕过Java沙盒并在底层系统上执行任意代码。

从Java 7 Update 7中的sun.awt.SunToolkit类的实现中移除getField和getMethod方法将全部禁用Gowdiak说，但是，这只是因为“剥削向量”被删除，并不是因为攻击所针对的所有漏洞都被修补了，Gowdiak说，“安全研究发现的新漏洞Java 7 Update 7中的探索可以与Oracle未修补的一些漏洞相结合，以再次实现完整的JVM沙箱旁路

“一旦我们发现我们完整的Java沙箱旁路代码在更新应用后停止工作，我们再次查看POC代码，并开始考虑如何彻底打破最新的Java更新的可能方式，“Gowdiak说。 “一个新的想法出现了，它被证实，事实证明这就是它。”

Gowdiak不知道Oracle计划何时解决由安全研究部门在4月份报告的其余漏洞或由安全公司提交的新漏洞上周五

现在还不清楚Oracle是否会按照之前的计划在10月发布新的Java安全更新。该公司并未立即回复评论请求。

安全研究人员一直警告说，如果供应商花费太多时间来解决所报告的漏洞，那么同时可能会被坏人发现，如果他们还不知道关于它

多次发生的情况是，不同的寻找bug的人能够独立发现同一产品中的相同漏洞，这种情况也可能发生在Java 7 Update解决的两个主动利用的Java漏洞中7.

“独立发现永远不能排除，”Gowdiak说。 “然而，这个特定的问题[新的漏洞]可能更难以找到。”

基于Security Explorations研究人员迄今为止搜索Java漏洞的经验，Java 6比Java 7具有更高的安全性。“Gowdiak说：”Java 7出奇地让我们更容易破解。 “对于Java 6，除Apple Quicktime for Java软件中发现的问题外，我们无法实现完整的沙盒折衷。”

Gowdiak回应了许多安全研究人员之前所说的内容：如果您不需要Java，从你的系统中卸载它。