Java开始看起来像是在狭小的码头里的一个胖乎乎的家伙,这个家伙不能坐下如果不打开一个大一些的裂缝(是的,这是我从经验中分析出来的)。在甲骨文公司发表了包括42个漏洞补丁的Java7第21个更新版本之后一周,由经验丰富的Java漏洞猎人亚当戈迪亚克(Adam Gowdiak)报道:在最新推出的Java运行环境(JRE)具有反射机制漏洞的新闻就已经出现。
戈迪亚克是一家波兰的安全和漏洞的研究公司——安全探索(Security Explorations,目前没有找到官方译名)的首席执行官和创立者。他写的关于“完全公开”邮件列表的安全漏洞,这个邮件列表是一个“为了公开揭露安全性信息的轻缓的高流量论坛。”(这是一个伟大的列表,它的作者在一些严肃的安全问题的事实上表现出一定的幽默感。)
Java的反射机制通常用于检测和修改在Java虚拟机(JVM)中运行的应用程序的种种行为。戈迪亚克说:“这种反射机制漏洞会作用于所有的版本的Java7,包括第21个更新版本。并且这个漏洞可以用来实现一个对目标系统完整的Java安全沙箱旁路功能。他写道——在网络浏览器中的成功开发需要“适当的用户交互”,换句话说,使用者必须点击“是”来允许一个恶意程序执行,即使当一个安全警告窗口显示的时候。
戈迪亚克的报道紧随着甲骨文公司最近宣布的延迟发布Java8的消息而来,这个延迟消息正是甲骨文公司将主要的物质资源转移到解决Java安全漏洞上的结果。
一月,甲骨文公司的高级产品安全经理,米尔顿斯密斯(Milton Smith),在一场电话会议中告诉Java用户组(JUG)的领袖:公司主要考虑的领域是在浏览器上利用Java插件运行的小程序。他说:“我们所看见的大部分攻击和适用于他们的安全修复程序都和浏览器中的Java有关。找到解决方案是现在最大的目标。”
然后戈迪亚克说:“这个他发现的新问题当前不仅出现在Java运行环境(JRE)插件和Java开发工具包(JDK software),而且还出现在JRE服务器中。”他说他在2012年4月给甲骨文公司发了一份报告,报告中标记了Java7标准版中的多处安全问题特别是反射机制的问题,并附带概念验证的代码。他写道:“从那时起,已经过去了一年。但是真正让我们惊讶的是我们依然能够发现一个最简单并且最有力的基于漏洞的Java反射机制的例子。这看上去就好像甲骨文公司优先关注追捕潜在危险的在‘允许’类空间被调用的反射机制。如果是这样,那么问题61能被克服也就不奇怪了。”
