Java開始看起來像是在狹小的碼頭裡的一個胖乎乎的傢伙,這個傢伙不能坐下如果不開啟一個大一些的裂縫(是的,這是我從經驗中分析出來的)。在甲骨文公司發表了包括42個漏洞補丁的Java7第21個更新版本之後一週,由經驗豐富的Java漏洞獵人亞當戈迪亞克(Adam Gowdiak)報導:在最新推出的Java執行環境(JRE)具有反射機制漏洞的新聞就已經出現。
戈迪亞克是一家波蘭的安全和漏洞的研究公司——安全探索(Security Explorations,目前沒有找到官方譯名)的執行長和創立者。他寫的關於“完全公開”郵件列表的安全漏洞,這個郵件列表是一個“為了公開揭露安全性資訊的輕緩的高流量論壇。”(這是一個偉大的列表,它的作者在一些嚴肅的安全問題的事實上表現出一定的幽默感。)
Java的反射機制通常用於檢測和修改在Java虛擬機器(JVM)中執行的應用程式的種種行為。戈迪亞克說:“這種反射機制漏洞會作用於所有的版本的Java7,包括第21個更新版本。並且這個漏洞可以用來實現一個對目標系統完整的Java安全沙箱旁路功能。他寫道——在網路瀏覽器中的成功開發需要“適當的使用者互動”,換句話說,使用者必須點選“是”來允許一個惡意程式執行,即使當一個安全警告視窗顯示的時候。
戈迪亞克的報導緊隨著甲骨文公司最近宣佈的延遲釋出Java8的訊息而來,這個延遲訊息正是甲骨文公司將主要的物質資源轉移到解決Java安全漏洞上的結果。
一月,甲骨文公司的高階產品安全經理,米爾頓斯密斯(Milton Smith),在一場電話會議中告訴Java使用者組(JUG)的領袖:公司主要考慮的領域是在瀏覽器上利用Java外掛執行的小程式。他說:“我們所看見的大部分攻擊和適用於他們的安全修復程式都和瀏覽器中的Java有關。找到解決方案是現在最大的目標。”
然後戈迪亞克說:“這個他發現的新問題當前不僅出現在Java執行環境(JRE)外掛和Java開發工具包(JDK software),而且還出現在JRE伺服器中。”他說他在2012年4月給甲骨文公司發了一份報告,報告中標記了Java7標準版中的多處安全問題特別是反射機制的問題,並附帶概念驗證的程式碼。他寫道:“從那時起,已經過去了一年。但是真正讓我們驚訝的是我們依然能夠發現一個最簡單並且最有力的基於漏洞的Java反射機制的例子。這看上去就好像甲骨文公司優先關注追捕潛在危險的在‘允許’類空間被呼叫的反射機制。如果是這樣,那麼問題61能被克服也就不奇怪了。”