java漏洞问题，甲骨文早就知道吗？

　　近日Java爆出了严重的安全漏洞，影响所有的Java 7分支版本。

　　据安全研究公司Security Explorations的CEO Adam Gowdiak称，其实甲骨文在今年4月份时已经知道Java 7中存在这两个可能导致恶意软件攻击的漏洞。

　　Gowdiak称，Security Explorations在今年4月2日曾给甲骨文报告了19个Java 7安全问题，这些问题中包含了两个零日漏洞(被发现后立即被恶意利用的安全漏洞)，攻击者可以利用这些漏洞通过恶意软件来攻击计算机。

　　该公司在接下来的几个月内，陆续向甲骨文报告了一些Java 7中的安全漏洞，总数已经达到29个。Gowdiak称，“我们还向甲骨文展示了16个完整的利用漏洞绕过Java SE 7沙箱的方案。”

　　据另一家安全公司Immunity的研究显示，前几天利用Java漏洞发起的攻击中，使用到了两个漏洞，第一个漏洞被用来获取sun.awt.SunToolkit 类的引用，仅限于applets;第二个漏洞调用SunToolkit 中的getfield公共静态方法，使用一个受信任的caller反射来绕过安全检查。

　　Gowdiak称，这两个漏洞，一个在ClassFinder类中，一个在MethodFinder类中，Security Explorations公司已经在4月份时先后报告给了甲骨文，还报告了其他一些漏洞以及利用漏洞的概念性方案，但这两个漏洞并不是同时报告的。

　　目前已经出现的攻击中，同时使用了SunToolkit类和getField方法来绕过JVM沙箱，这与Security Explorations证明给甲骨文的方式不同，因此研究人员认为，可能是其他人也发现了相同的漏洞，而不是甲骨文在处理漏洞报告过程中的信息泄露。

　　根据甲骨文8月23日的报告显示，该公司计划在10月份发布一个重要的补丁，计划修复这两个漏洞，以及其他17个Security Explorations报告的Java 7漏洞。

　　Gowdiak对此表示，“在甲骨文6月份发布的补丁中，只修复了Security Explorations报告的漏洞中的3个。虽然我们与甲骨文联系和沟通过程已经相当完美，但到目前为止，我们也不知道为什么甲骨文将这么严重的错误留到10月份的补丁中。我们希望甲骨文能够尽快发布一个补丁。”

　　目前甲骨文公司对此仍未有任何回复。