Forskningsforskare Adam Gowdiak publicerade ett meddelande på fredag ​​där han uppgav att hans lag hade upptäckt inte en, inte två, men tre säkerhetshål i Java: s senaste version.

Enligt Gowdiak framträder en av säkerhetsriskerna som samma problem för vilket Oracle nyligen släppte nödplåstret Java 7 Update 11.

Sårbarheten gör det möjligt för smarta hackare att få en "komplett Java Security Sandbox bypass", ett kvarstående problem som uppmanade U.S. Department of Homeland Security att rekommendera att inaktivera programvaran tillfälligt.

Säkerhetsutredningar hittade också två nya säkerhetsbrister i "den senaste versionen av Java SE7-koden", som den har skickat till Oracle för granskning, och förhoppningsvis för en lösning.

Java sylt

Forskarna vid Security Explorations citerade exploiteringsgruppen Immunity som en av deras källor för att upptäcka den fortfarande sårbara delen av Java-kod efter att plåstret utfärdades.

En snabb bläddring genom Immunitets fynd visar att återstående fel beror på signeringen av en Java-applet och att felet inte finns i Java 6, vilket har bekräftats av Oracle.

På grund av det snabbmeddelande som lagts till av Java 7 Update 11 har en del av det ursprungliga säkerhetshålet fyllts, och osignerade applets kan inte längre få tillgång till den metoden.

  • Hämta Java Runtime Environment 7

Om de nya hålen som upptäckts av Gowdiak och teamet är legitima hot kan det dock vara tillrådligt att hålla Java inaktiverad för webbläsare tills Oracle svarar med en annan, mer komplett fix.

Via PCWorld