新闻链接：http://www.cnnvd.org.cn/news/show/id/1961
新闻时间：2013-05-28
新闻正文：近期，Java为了巩固数据安全，发布了最新的补丁，但是就在发布补丁之后不久，新的数据安全问题再次被发现。看来这个“燃眉之急”是没有解决掉。
        在Java最新补丁发布几天后，安全研究员Adam Gowdiak就发现了另一个Java的漏洞。在附带的披露文章中，Gowdiak表示Reflection API缺陷会影响 Java SE 7的全部版本，而且“可以用来在目标系统上达到完全绕过Java安全沙箱的目的”。该漏洞同时在插件/JDK软件中存在，而服务器JRE也未能幸免。通过Web浏览器暴露的漏洞确实要求用户“在看到安全性警告窗口的时候，接受执行潜在地恶意Java应用的风险”Gowdiak写道。
        Gowdiak宣称他的公司Security Explorations已经将漏洞报告及验证代码发送给Oracle。
        由于这一最新漏洞同时也影响服务器JRE，这让事情变得有一些不寻常。上周，Oracle发布了一个补丁，修复了其他42处缺陷，其中19处在公司用来评估的CVSS评测中得到了10分（最严重）。不过其中大部分漏洞是针对客户端Java的，而且只能够通过不受信任的applet或是Web启动应用程序来利用这些漏洞。
        针对这些漏洞的补丁发布的很及时。从一篇Timo Hirvonen发表的短博文来看，或许是因为漏洞已经被添加到CrimeBoss、Cool和CritX攻击工具，以及渗透测试产品Metasploit上面，使用远程代码执行漏洞之一（CVE-2013-2423）的攻击已经出现。RedKit也曽被报导过，但Hirvonen向InfoQ确认这是由F-Secure的自动工具错误报告所致。
        近期，Java在安全方面度过了艰难的几个月。在数月的负面报道之后，Oracle最近新委任Java安全主管Milton Smith，Smith在1月份的一个电话会议中声明Oracle将专注于修复问题并增强与社区成员的交流。
        Oracle需要集中更多的资源，以应对接下来与Java的安全问题进行的斗争。这也被视作JDK 8的发布推迟到2014年的一个原因。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课