Java再爆發零時差漏洞

安全漏洞接連不斷的Java，近日又再被安全公司找到另一項零時差漏洞。

波蘭安全公司Security Explorations CEO暨創辦人Adam Gowdiak周三（9/26）表示，發現一項新的Java安全漏洞，影響所有最新版本的Oracle Java SE軟體。

這是在該公司為參加Java One 2012大會而進行Java漏洞研究的發現。Gowdiak表示，該瑕疵較為特別的地方在於，它允許駭客違反「Java VM中一項底層的安全限制」。他表示，在測試中，研究人員已可成功入侵這項漏洞，並迴避Java SE 5、6、7的安全沙箱環境，可能導致用戶電腦遭駭客控制。

Security Explorations今年4月間也曾發現Java漏洞，不過當時的漏洞只影響Java 7。而隨後針對Java漏洞的零時差攻擊逐漸增加，並在8月間大規模蔓延，迫使甲骨文於8月30日發佈例外安全更新，修補4個，其中包括3項最高風險等級的Java漏洞，當時部分專家建議用戶退回到Java 6作為權宜性的防護。這次Java攻擊也使得甲骨文對安全漏洞的修補速度再遭爭議。

在安全更新發佈之前，該公司僅向甲骨文透露漏洞細節。Gowdiak表示，最新發現的漏洞存在於所有版本Java SE，包括Java SE 5 Update 22 (build 1.5.0_22-b03)、Java SE 6 Update 35 (build 1.6.0_35-b10)及Java SE 7 Update 7 (build 1.7.0_07-b10)。

Security Explorations公司是在32位元版Windows 7作業系統上針對Firefox 15.0.1、Google Chrome 21.0.1180.89、Internet Explorer 9.0.8112.16421 (update 9.0.10)、Opera 12.02 (build 1578)及Safari 5.1.7 (7534.57.2)環境進行Java漏洞測試。

依照原本時程，甲骨文下一次的安全更新為10月16日。（編譯/林妍溱）