安全研究人员说，他们在Oracle最近针对一系列攻击而发布的Java 7更新中发现了一个漏洞。根据波兰公司Security Explorations的说法，此更新包含一个漏洞，攻击者可以利用该漏洞绕过JVM沙箱，并利用该公司先前于4月向Oracle披露的漏洞。Security Explorations首席执行官Adam Gowdiak拒绝透露该漏洞的详细信息，但表示该公司已通知Oracle。他说，甲骨文已经告知该公司正在调查。

他在一封电子邮件中告诉eWEEK：“我们发现并向Oracle报告了一个安全问题，该问题影响了最近发布的修补Java版本(7 Update 7，该版本于2012年8月30日发布)。” “我无法分享有关该新错误的性质的更多详细信息。[但是]与2012年4月的某些问题结合使用时，此新问题可以促进对最新Java SE 7 Update 7的成功执行代码攻击。”
Java更新(于8月30日发布)是由针对CVE-2012-4681的攻击的广泛报道引起的。CVE-2012-4681的漏洞利用程序已合并到许多漏洞利用工具包中，包括Sweet Orange和Black Hole。据赛门铁克称，即使是去年针对化学工业而发现的Nitro攻击活动背后的黑客，也已将该漏洞纳入其最新攻击的组合中。
Sophos高级安全顾问Graham Cluley在博客中写道，由于Java的普遍性以及它在许多组织中通常已经过时的事实，恶意软件作者利用Java中的漏洞已变得越来越普遍。根据漏洞管理公司Rapid7的统计，Java用户的补丁程序率很低，只有35%的用户在更新可用后90天内应用补丁程序。
Cluley在博客中写道：“网络罪犯也喜欢Java，因为Java具有跨平台的能力，可以在计算机上运行，而不管它们是运行Windows，Mac OS X还是Linux。” “因此，在提供特定于操作系统的有效负载之前，恶意黑客将Java用作攻击的一部分对我们来说并不罕见。”
Rapid7的Metasploit工程师经理Tod Beardsley说，大多数人可以禁用Java并且不会注意到用户体验的差异，因为很少有网站依赖Java来获取动态内容。
他说：“重要的是要记住，这肯定不是我们在Java上看到的最后0天。” “仍然建议禁用Java浏览器插件，除非您知道需要使用它的网站。GoogleChrome，Mozilla Firefox和Microsoft Internet Explorer都允许这种“白名单”配置。保持您的位置仍然是一个好主意漏洞配置文件下一次降低。”

【关键词：青岛Java培训，Java就业培训，学Java开发多少钱，Java培训哪家好，中享思途】