Para Adam Gowdiak, CEO de Security Explorations, parece ser que la nueva API Reflexión en Java SE 7 no tuvo una revisión a fondo de seguridad por parte de Oracle.
Es la conclusión del experto en seguridad al dar a conocer que han entregado a Oracle una nueva vulnerabilidad (número 69) de seguridad encontrada en el popular complemento para el navegador y que puede hacer posible que sea aplicada en un ataque muy clásico contra Java VM.
Se trata de un tipo de ataque en el manejo de colores por parte de Java. La prueba realizada por Security Explorations pudo violar una función fundamental de la seguridad de la máquina virtual de Java -la seguridad del sistema de tipos- usando Java SE 7 Update 25 (1.7.0_25-b16), permitiendo evadir la sandbox de seguridad de Java SE y ejecutar código en el sistema vulnerable.
Gowdiak llama la atención que este tipo de ataque ha sido del conocimiento público por al menos más de 10 años y del cual debe protegerse en principio cada vez que una nueva funcionalidad es agregada en el núcleo de la máquina virtual de Java. Critica que si Oracle tuviera algún procedimiento de aseguramiento de la seguridad del software para Java SE, estos fallos debieron haber sido corregidos antes de la publicación de Java SE 7.
Al suponer que las políticas y procedimientos de seguridad de Oracle dejan mucho que desear, Gowdiak dice que ello debe llamar la atención de los clientes de Oracle no necesariamente por depender de Java SE, sino más bien en los otros productos de Oracle, sujetos también a dichas políticas y procedimientos de seguridad. [Anuncio de Gowdiak en Full Disclosure]