研究人员绕过IBM老旧Java漏洞的补丁

波兰安全企业Security Explorations表示，IBM在2013年为一个Java沙箱逃逸漏洞发布的补丁可被轻易绕过。

2012年和2013年，这家公司在甲骨文和IBM Java执行中发现了70多个漏洞。厂商在接下来的几个月中修复了多数漏洞，但Security Explorations注意到一些修复方案可被轻易绕过。

3月份，甲骨文为CVE-2013-5838发布了另外一个补丁。其实早在2013年10月，这个漏洞就曾被修复过。周一，这家安全公司的创始人兼CEO Adam Gowdiak报告称2013年5月份在IBM Java中发现一个沙箱逃逸漏洞，名为“issue 67”，只要稍微修改一下在2013年7月份发布的PoC代码仍然可利用这个漏洞。

Gowdiak表示引发这个问题的根因根本未被解决。代码中并没有任何安全检查。安全公司已发布报告说明如何绕过IBM的修复方案，另外这家公司还颁布新规表示以后在发布不管用的补丁之前不会事先通知厂商。

Gowdiak表示这是IBM第六次发布有漏洞的Java补丁。他表示在过去IBM通常要花费一到两个月的时间重新修复这些不成功的补丁。他表示从Issue 67的问题可看出，厂商通常只会修复PoC代码展示场景下的漏洞。一般来说PoC代码对于分析已知漏洞的根因来说起着重要作用，但在某些情况下并非如此。