Java 7爆最新漏洞，10年前的攻擊手法仍有效

　　英文原文：New Reflection API affected by a known 10+ years old attack

　　據 SECLISTS 透露，他們發現新的 Reflection API 在引進 Java SE 7 時并未經過非常安全的復查，并且存在著一個非常大的漏洞。

　　該漏洞可以允許黑客利用 10 年前便廣為人知的手法來攻擊 Java 虛擬機。Java SE 7 中的 Reflection API 并未采取應有的保護機制來防堵該攻擊。

　　SECLISTS 公司關于該漏洞的概念驗證代碼在 Java SE 7 Update 25 (1.7.0_25-b16) 版本下成功利用了該漏洞。該代碼可以侵入 JVM 安全方面的特性：類型系統安全性。這樣，一個完整的、可依賴的 Java 安全沙盒分支便可以獲得 Java SE 軟件的一個漏洞實例。

　　Oracle 公司在 2013 年 5 月曾發表博文稱，要優先維護 Java 的安全性。而如今，Java 頻頻爆出漏洞，這似乎也說明 Oracle 安全策略的制定和實施還不健全、不完善。

　　關于該漏洞的更多詳情，前往官網查看。