Java比来为了巩固数据安然，发布了最新的补丁，可是就在这以后不久，新的数据安然标题问题再次被发现。看来这个“烧眉之急”是没有解到。

　　在Java 最新修订发布几天后，安然研究员 Adam Gowdiak 就发现了另外一个 Java 的缝隙。在附带的透露文章中，Gowdiak 暗示 Reflection API 缺点会影响 Java SE 7 的全数版本，并且“可以用来在方针系统上达到完全绕过 Java 安然沙箱的目标”。该缝隙同时在插件/JDK 软件中存在，而办事器 JRE 也未能幸免。经由过程 Web 浏览器透露的缝隙确切要求用户“在看到安然性警告窗口的时辰，接管履行暗藏地歹意 Java 利用的风险，”Gowdiak 写道。

　　Gowdiak 传播鼓吹他的公司 Security Explorations 已将缝隙陈述及概念验证代码发送给 Oracle。

　　Security Explorations 最早在 2012 年 4 月与 Oracle 联系，出格向其传递了 Java SE 7 和 Reflections API 中的安然标题问题。但是 Gowdiak 觉得“看起来，Oracle 重点专注于措置‘许可的’类空间中暗藏的 Reflection API 危险调用”——也就是不受信赖的 applet 或 Web 启动利用法度如许的法度可以或许拜候的类。

　　因为这一最新缝隙同时也影响办事器 JRE，这让工作变得有一些不服常。上周，Oracle 发布了一个补丁，修复了其他 42 处缺点，此中 19 处在公司用来评估的 CVSS 评测中获得了 10 分(最严重)。不外此中大年夜部门缝隙是针对客户端 Java 的，并且只可以或许经由过程不受信赖的 applet 或是 Web 启动利用法度来操纵这些缝隙。

　　针对这些缝隙的补丁来得很及时。从一篇 Timo Hirvonen 颁发的短博文来看，或许是因为缝隙已被添加到 CrimeBoss、Cool 和 CritX 报复打击东西，和渗入测试产品 Metasploit 上面，利用长途代码履行缝隙之一(CVE-2013-2423)的报复打击已呈现。RedKit 也曽被报导过，但 Hirvonen 向 InfoQ 确认这是由F-Secure 的自开东西弊端陈述而至。

　　在该新闻以后，Java 在安然方面渡过了艰巨的几个月。在数月的负面报导以后，Oracle 比来委任 Java 安然主管 Milton Smith，Smith 在 1 月份的一个德律风会议中声明Oracle 将专注于修复标题问题并加强与社区成员的交换。

　　继黑客操纵 Java 中的 0day 缺点对多家公司进行报复打击后(这些公司包含 Apple、Facebook 和 Microsoft，或许还有 Twitter)，Java 再次成了头条新闻。

　　Oracle 需要集中更多的资本，以应对接下来与 Java 的安然标题问题进行的斗争。这也被视作 JDK 8 的发布推迟到 2014 年的一个启事。