Seulement quelques jours après les dernières corrections, le chercheur en sécurité Adam Gowdiak a trouvé une nouvelle vulnérabilité Java. Dans le billet d'annonce, Adam Gowdiak note que les failles de l'API Reflection affectent toutes les versions de Java SE 7 et "peuvent être utilisées pour réaliser un contournement total de la sandbox de sécurité de Java sur un système cible". La vulnérabilité existe à la fois dans le plugin/JDK et dans la JRE serveur. Une exploitation de la faille via le navigateur web requiert que l'utilisateur "accepte le risque d'exécuter une application Java potentiellement malveillante quand une fenêtre d'alerte de sécurité est affichée", a indiqué Adam Gowdiak.
Il annonce que sa compagnie, Security Explorations, a envoyé un rapport de vulnérabilité ainsi qu'un code prototype à Oracle.
Security Explorations a commencé à contacter Oracle à propos de problèmes de sécurité dans Java SE 7 et l'API Reflection en particulier dès avril 2012, mais cependant "il semble", d'après M. Gowdiak, "qu'Oracle était essentiellement concentré sur la chasse aux appels potentiellement dangereux à l'API Reflection dans l'espace des classes 'autorisées' " - i.e. ces classes qui ont accès à du code non sécurisé.
Le fait que cette dernière vulnérabilité impacte aussi la JRE serveur la rend assez inhabituelle. La semaine dernière, Oracle a sorti un patch couvrant 42 autres failles, dont 19 avaient un score de 10 (le plus sévère) sur la métrique CVSS utilisée par l'entreprise dans leurs évaluations. La majorité de ces failles s'appliquent à Java côté client cependant, et ne peuvent être exploitées que via des applets non sécurisées et des applications Web Start.
Leur patch est arrivé juste à temps. D'après un court billet de blog publié par Timo Hirvonen, un chercheur chez le fournisseur d'antivirus F-Secure, les attaques utilisant une des vulnérabilités d'exécution de code à distance (CVE-2013-2423) ont commencé d'apparaître dans la nature, probablement après avoir été ajoutées aux kits d'exploitation de failles CrimeBoss, Cool et CritX, ainsi qu'au produit de test d'intrusion Metasploit. Redkit a aussi été mentionné à un certain moment, mais M. Hirvonen a confirmé à InfoQ que cela était dû à un mauvais reporting de la part des outils automatisés de F-Secure.
Cette nouvelle fait suite à quelques mois difficiles pour Java côté sécurité. Après plusieurs mois de presse négative le nouveau directeur de la sécurité d'Oracle, Milton Smith, a déclaré au cours d'une conférence téléphonique en Janvier qu'Oracle se concentrerait sur la résolution des problèmes et l'amélioration de la communication vers les membres de la communauté.
Java a fait la une à nouveau le mois suivant lorsqu'une faille zero day dans Java a été exploitée par des hackers visant de multiples compagnies, dont Apple, Facebook, Microsoft et probablement Twitter.
Le besoin d'Oracle d'affecter plus de ressources à la bataille continue avec les problèmes de sécurité de Java a aussi été cité comme raison au décalage du JDK 8 à 2014.
InfoQ a contacté Oracle pour une déclaration sur cette nouvelle, mais ils se sont refusés à tout commentaire.