最新の修正後わずか数日で、セキュリティ研究者のAdam Gowdiak氏はまた別の脆弱性を発見した。公開ポストで氏は、Reflection APIの欠陥が全バージョンのJava SE 7に影響し、「ターゲットシステム上で完全にJavaのセキュリティサンドブックスをバイパスできる」と言っている。脆弱性は、プラグイン/JDK ソフトウェアの両方に存在し、サーバーJREにも存在する。ウェブブラウザ経由での攻撃には、ユーザーが「セキュリティ警告ウィンドウが表示された時、潜在的に悪意のあるJavaアプリケーションを実行するリスクを受け入れる」必要がある、と書いている。
Gowdiak氏は、彼の会社Security Explorationsが脆弱性レポートと概念実証コードをOracleに送った、と言っている。
Security Explorationsが最初にOracleにJava SE 7 と特にReflections APIについて連絡したのは、2012年の4月に遡る。しかし、氏によると、「Oracleは、「許可された」クラスの空間(すなわち、信頼出来ないアプレットと Web Startアプリケーションの類ががアクセスするクラス)における潜在的に危険なReflection APIコールを潰すことに注力しているようだった。」
この最新の脆弱性がServer JREに影響する、という事実が幾分妙なものになった。Oracleは、 パッチをリリースして更に42の欠陥を修正した。その内の19は、会社が評価に使用しているCVSSのメトリックによるとランク10 (最も重大) であった。しかしこれらの攻撃の多くは、クライアントサイドのJavaに適用でき、信頼出来ないアプレットとWeb Startアプリケーションからのみ攻撃できる。
これら用のパッチは時間に間に合った。アンチウイルス提供会社の F-Secureの研究者であるTimo Hirvonen氏が公開した短いブログ記事によると、リモートカラのコード実行の脆弱性(CVE-2013-2423) の1つを使った攻撃が世の中に現れ始めたのは、恐らくCrimeBoss, Cool 、CritX 攻撃キット、そして侵入テスト製品Metasploitに加えられた後である。RedKitも、一点報告されたが、Hirvonen氏はInfoQにこれは F-Secureの自動ツールの誤認が原因である、と明言した。
このニュースは、Javaのセキュリティ前線における困難な数ヶ月を追っている。否定的な報道の数カ月後、Oracleが最近指名したJava Securityのトップである Milton Smith氏が電話会議で1月に、Oracleは問題の修正とコミュニティメンバーとのコミュニケーションの改善に注力すべきだった、と言った。
翌月、Javaが賑わしたのは、Javaにおけるゼロデイ欠陥がハッカーによって悪用され、複数の会社が攻撃された時である。その中にはApple, Facebook, Microsoft そして恐らくTwitterも含まれている。
Oracleが進行中のJavaのセキュリティ問題との戦いにもっとリソースを集中する必要がある。このことがJDK 8が2014年にずれ込む理由として挙げられている。
InfoQ は、Oracleにこの話にコメントするように言ったが、拒否された。