甲骨文剛剛公布了Java SE 7u11更新。這次更新包含了安全漏洞CVE-2013-0422的補丁，該漏洞導致Oracle JRE7環(huán)境中的jmx.mbeanserver.JmxMBeanServer類存在沙盒繞過漏洞，使得遠程攻擊者可以繞過java securityManager的檢查遠程執(zhí)行任意java代碼，進而控制用戶系統(tǒng)。

不僅如此，甲骨文還改變了默認的Java安全級別設置，任何未簽名的Java Applet或Java Web Start應用程序運行時總是會被提示，這樣可以防止惡意應用被下載。這樣做的影響是用戶需要增加一步確認操作，但它能有效保護用戶安全。

這是一周時間內(nèi)甲骨文第二次修補Java漏洞。在上周四的時候，隸屬國土安全部國家網(wǎng)絡安全部門的Emergency Readiness團隊發(fā)現(xiàn)Java7 Update 10上存在漏洞，該漏洞誘使用戶訪問特制的HTML文檔，允許未經(jīng)身份驗證的遠程攻擊者在受害系統(tǒng)上執(zhí)行任意代碼，因此美國政府宣布暫停使用Java應用。隨后Mozilla也宣布將最近的Java更新加入到了阻止列表里面，涵蓋 Java 7 Update 9, Java 7 Update 10, Java 6 Update 37和Java 6 Update 38。甲骨文于上周六正式確定Java7中確實存在0-day漏洞，并在一天前修復該漏洞。