在研究人员旁路旧补丁后，紧急Java更新修复了两岁的缺陷

Oracle已发布紧急Java安全更新，以修复一个关键漏洞，可能允许攻击者在访问特制的网站时损害计算机。

该公司已将CVE-2016-0636分配为漏洞的标识符，这表明它是今年发现的新缺陷，但这并不是真正的情况。

波兰安全公司安全探索通过电子邮件确认，新的Java更新实际上修复了该公司在2013年最初向Oracle报告的漏洞的破坏性补丁。

本月早些时候，安全探索宣布，Oracle于2013年10月发布的修补程序以CVE-2013-5838跟踪的关键漏洞是无效的，并且可以通过在原始漏洞中仅改变四个字符来逐渐绕过。这意味着漏洞在最新版本的Java中仍然可以利用。

安全探索研究人员发布了详细的技术报告，其中他们在未提前联系甲骨文的情况下描述了旁路。他们说，公司不再容忍破坏的供应商修复，并将公开揭示他们。

Oracle似乎决定将安全探索物“旁路技术作为一个完全新的漏洞。在其安全警报周三发布，公司向旧CVE-2013-5838缺陷或波兰安全公司的发现发布。

但是，它指出，客户应该尽快安装新的Java更新，因为缺陷的持续性和“技术细节公开披露”。“

建议Java SE 8用户安装新发布的Java SE 8更新77（8U77）。Java 6和7的安全更新仅适用于具有长期支持合同的客户，因为这些版本不再被公开支持。

“在Java SE 8更新下完成的快速测试77揭示了补丁确实阻止了我们的概念代码证明，”安全探索的创始人兼首席执行官通过电子邮件说明了adamGowdiak表示。“修复程序主要应用于Sun.Invoke.util.verifyAccess类的Istypevisible方法，这些类是有助于建立沙箱逃生（类欺骗攻击）。”

Gowdiak表示，他不会期待这种修复也被打破，特别是因为甲骨文现在知道安全探索“公开披露破损的新政策而没有事先警告。