近日，波蘭安全公司Security Explorations發(fā)表報(bào)告稱，他們?cè)贘ava中發(fā)現(xiàn)了兩個(gè)新的漏洞”issue 54″和”issue 55″,兩個(gè)漏洞結(jié)合起來，可以完美繞過Java的沙盒防御機(jī)制。

該公司研究員Adam告訴記者，他測(cè)試的版本Java SE 7、Java SE 7 Update 11和Java SE 7 Update 15（Java最新版本）都存在此漏洞。甲骨文公司證明這幾個(gè)版本確實(shí)存在該漏洞，并且已經(jīng)收到Security Explorations公司提供的詳細(xì)信息以及POC，并提供會(huì)盡快發(fā)布補(bǔ)丁更新。

從以前的Java爆一個(gè)漏洞小編會(huì)有興奮的感覺，到現(xiàn)在已經(jīng)麻木了，Java仿佛已經(jīng)成了一個(gè)百家衫，上面的補(bǔ)丁漏洞數(shù)不勝數(shù)，而攻擊者也經(jīng)常使用JAVA 0day來進(jìn)行APT攻擊獲取信息，如最近的Facebook員工筆記本被入侵，攻擊者利用的就是Java的漏洞。

在目前還沒有補(bǔ)丁的情況下，freebuf小編建議在各瀏覽器禁用Java插件，以保護(hù)客戶端的安全。