4月11日消息，兩位研究人員星期五（4月9日）發(fā)布警告稱，Java技術中存在一個安全漏洞。如果用戶訪問一個托管惡意代碼的網頁，攻擊者就可以利用這個安全漏洞并且攻破運行Windows操作系統(tǒng)的計算機。

    谷歌工程師Tavis Ormandy在“Full Disclosure”（全面披露）電子郵件列表中發(fā)布了這個安全漏洞的細節(jié)。Wintercore工程師Ruben Santamarta在該公司播客網站上也發(fā)表了類似的文章。

    Ormandy說，這個安全漏洞存在于“Java Web Start”框架中。這個框架能夠讓開發(fā)人員更容易地編寫應用程序。關閉這個Java插件能夠防止攻擊。

    Ormandy說，這個工具僅提供極少的URL參數(shù)驗證，使我們能夠向“Java Web Start”工具注入任意參數(shù)，從而通過命令行參數(shù)提供足夠的功能，使這個安全漏洞能夠被利用。這個錯誤這樣容易被發(fā)現(xiàn)時我相信發(fā)布這個文件是符合除了廠商之外的所有人的利益的。

    據(jù)卡巴斯基實驗室稱，這個安全漏洞影響到目前所有版本的Windows和主要的瀏覽器，如火狐、IE和Chrome瀏覽器。

    Ormandy說，他已經通知Sun微系統(tǒng)公司有關這個安全漏洞的事情，但是，Sun告訴他說Sun認為這個安全漏洞的優(yōu)先等級還不足以使該公司在每季度發(fā)布補丁的周期之外額外發(fā)布一個補丁。

    目前已經收購Sun的甲骨文的代表沒有回應星期五晚些時候要求發(fā)表評論的請求。