Чуть более недели прошло с момента релиза патча для Java 7, закрывающего одну из недавно найденных уязвимостей нулевого дня, а перед миллионами пользователей уже встаёт новая угроза. Исследователи из польской компании Security Explorations обнаружили сразу две неизвестных ранее уязвимости, позволяющих обойти механизм безопасности Sandbox и выполнять на компьютере пользователя вредоносный код.
Уязвимости были обнаружено уже после выхода обновления Java 7 Update 11 (JRE версия 1.7.0_11-b21). Информация об их обнаружении была передана в компанию Oracle в пятницу, вместе с кодом, показывающим возможность их использования. Согласно политике Security Explorations, технические детали найденных уязвимостей останутся закрытой информацией до момента выпуска соответствующего патча.
Специалисты другой компании, Immunity, проанализировали обновление Java 7 Update 11 и пришли к выводу, что оно закрывает лишь одну из двух имевшихся уязвимостей. Таким образом, две компании независимо друг от друга открыли к настоящему моменту три бреши в системе безопасности Java 7. Значительная часть специалистов советуют полностью отключить плагины Java в браузерах как на Windows, так и на Mac.
Глава Security Explorations Адам Говдяк (Adam Gowdiak) выразил обеспокоенность качеством кода Java SE 7, полагая, что внутри компании Oracle имеются какие-то проблемы, негативно влияющие на качество продукта. В последнем обновлении были введены механизмы подтверждения пользователями разрешения на выполнение апплетов Java, что несколько снижает эффективность атак – впрочем, не слишком сильно, с учётом того, что большая часть пользователей жмёт «Да» на все запросы, не вдаваясь в их детали.