研究人员：台式机，服务器Java运行时环境存在严重缺陷

来自波兰安全研究公司Security Explorations的Java漏洞猎手声称已发现一个新漏洞，该漏洞影响最新的桌面版和服务器版Java Runtime Environment（JRE）

安全研究公司首席执行官Adam Gowdiak周一表示，该漏洞位于Java的Reflection API组件中，可用于完全绕过Java安全沙箱并在计算机上执行任意代码。发送到Full Disclosure邮件列表的电子邮件。这个漏洞影响到Java 7的所有版本，包括上周二由Oracle发布的Java 7 Update 21以及同时发布的新的Server JRE软件包，正如名字所暗示的那样，Server JRE是一个版本为Java服务器部署设计的Java运行时环境。根据Oracle的说法，Server JRE不包含Java浏览器插件，它是常规JRE包中常见的基于Web的漏洞攻击，自动更新组件或安装程序的常见目标。

[详细阅读：How从Windows PC删除恶意软件]尽管Oracle知道通过向易受攻击组件中的API（应用程序编程接口）提供恶意输入也可以在服务器部署上利用Java漏洞，但其信息通常是大部分Java漏洞只会影响Java浏览器插件，或者服务器上Java漏洞的利用情况是不可能的，Gowdiak周二通过电子邮件表示。“我们试图让用户意识到Oracle的声明在Java的影响方面是不正确的SE漏洞，“Gowdiak说。 “我们证明，Oracle评估的仅影响Java插件的错误也可能会影响服务器。”<2>在2月份，Security Explorations发布了针对被分类为插件的Java漏洞的概念验证漏洞， Gowdiak说，它可能被用来攻击使用RMI（远程方法调用）协议的服务器上的Java。甲骨文上周在Java更新中提到了RMI攻击媒介，但是存在其他攻击服务器上Java部署的方法，他说。

安全性探索研究人员尚未证实他们发现的针对Server JRE的新漏洞的成功利用，但列出了可用于在服务器上加载或执行不可信Java代码的已知Java API和组件。

如果攻击媒介存在于Oracle的“Java安全编码准则”的准则3-8中提到的某个组件中编程语言“，Gowdiak说，Java服务器部署可以通过类似周一向Oracle报告的漏洞攻击。

研究人员对Reflection API在Java 7中的安全问题实施和审计的方式提出质疑，因为组件迄今为止已成为多个漏洞的来源。 “反射API并不适合Java安全模型，如果使用不当，很容易导致安全问题，”他说。“这个新的缺陷是Reflection API弱点的一个典型例子，Gowdiak说。他表示，在与Reflection API相关的通用安全问题报告给Oracle后的一年内，这个漏洞不应该出现在Java 7代码中。