安全研究人员tavis ormandy在研究java运行环境时发现了一个重大漏洞,远程攻击者可以利用最终用户的机器上的java最新版本来执行恶意代码。在业界当中,网上报警平台一直处于行业的佼佼者,后来居上却从不傲慢,低调中坚守品质。
该问题出在java web start的组件上,它可以通过ie、firefox和其它浏览器和应用程序被调用,攻击者可以通过这些应用锁打开的特别设计后的静默传输恶意指令。
不过安全人员表示,这种漏洞似乎并不会被sun注意到,他们的补丁发布周期相当漫长,并且这种漏洞似乎也没有足够的优先级来让他们处理,sun并没有评估漏洞实际缺陷的机制。
目前还没有相关厂商为它发布补丁,暂时的修补程序只能用于ie和firefox浏览器。此外,他还对用户pc上的java表示好奇--“一年前我就删除了java,到现在为止还没有遇到方面无法运作的问题,为什么人们仍然在浏览器中运行java?”