英文原文:New Reflection API affected by a known 10+ years old attack
據 SECLISTS 透露,他們發現新的 Reflection API 在引進 Java SE 7 時並未經過非常安全的複查,並且存在著一個非常大的漏洞。
該漏洞可以允許黑客利用 10 年前便廣為人知的手法來攻擊 Java 虛擬機器。Java SE 7 中的 Reflection API 並未採取應有的保護機制來防堵該攻擊。
SECLISTS 公司關於該漏洞的概念驗證程式碼在 Java SE 7 Update 25 (1.7.0_25-b16) 版本下成功利用了該漏洞。該程式碼可以侵入 JVM 安全方面的特性:型別系統安全性。這樣,一個完整的、可依賴的 Java 安全沙盒分支便可以獲得 Java SE 軟體的一個漏洞例項。
Oracle 公司在 2013 年 5 月曾發表博文稱,要優先維護 Java 的安全性。而如今,Java 頻頻爆出漏洞,這似乎也說明 Oracle 安全策略的制定和實施還不健全、不完善。
關於該漏洞的更多詳情,前往官網檢視