Adam Gowdiak, quien ha logrado reputación buscando fallas en Java, reportó recientemente una nueva vulnerabilidad. El problema 61, de acuerdo a la cuenta de Gowdiak, afecta a la versión de Java SE 7, incluida versión más reciente, la 1.7.0_21-b11.

El problema se encuentra una vez más en la Reflection API que permite a los atacantes evitar por completo el lenguaje de la sandbox y así acceder al sistema subyacente. Godwiak no ha publicado más detalles acerca de la vulnerabilidad, permitiendo a Oracle tener el tiempo para arreglar el problema. Hasta ahora son tres vulnerabilidades descubiertas por Godwdiak que aún necesitan arreglarse: los problemas 54, 56 y 61, de acuerdo a su numeración.

Para que un atacante explote esta vulnerabilidad por completo, los usuarios tendrían que aceptar la advertencia de seguridad obligatoria de un applet de Java que se ejecuta en una página web. Esto permite realizar un ataque drive-by de manera automática, lo que actualmente no es factible. De acuerdo a los investigadores, curiosamente, la versión del servidor de JRE 7 también es vulnerable. Sin embargo, Gowdiak dirige la cuestión de cómo el código de ataque se puede introducir en Java VM en el servidor tomando como referencia la guía de Oracle sobre la manera de protegerse de inyección de código en Java.