Security Java 7安全问题信息

对于这样的问题，可能不是正确的平台，但是有人知道在哪里（或者是否）可以找到关于当前Java7SE安全问题的详细信息吗

我假设这些都没有发布，因为这将本质上记录如何利用这些漏洞，但我只是想问一下，如果在某个地方你可以得到更多关于“完整Java安全沙箱绕过”的信息。我发现了，但它似乎已经有几年没有更新了

---

谢谢。

当安全研究人员负责时（生产公司也不会在各自的屁股上坐太久），POC通常只有在软件的固定版本发布并在一定程度上广泛传播后才能发布

如果您感兴趣的是研究，那么较旧的、已经发布的漏洞应该会提供大量内容供研究

---

如果您感兴趣的是积极利用这些漏洞，那么不要指望我（或我希望是本网站上的任何其他人）提供任何帮助。

根据我的经验，使用最新版本通常比使用旧版本的安全风险要小。原因是，安全研究人员通常会很快地关注最新版本，指出问题所在。通常，这些问题很快就会得到解决。而开发人员很少回到旧版本，除非问题真的很普遍，他们可以编写一个不会破坏很多应用程序的解决方案

现实是，我们这些凡人并不了解悬而未决的安全问题，原因有二

首先，公司不想发布尚未解决的问题。第二，黑帽黑客对公布他们所知道的问题毫无兴趣

坦率地说，即使是Oracle也不知道Java 6上所有悬而未决的安全问题。。他们只知道那些好人告诉他们的，他们永远不会公开发布给我们，直到他们发布了补丁。即使如此，补丁描述也往往混淆了他们正在修复的内容

---

如果我是一名安全审计员，我会尝试加入那些讨论黑客攻击java以获取乐趣和利润的论坛和网站，并简单地观察结果。

别担心，我的意图是高尚的。我们目前正在考虑将应用程序从6更新为在SE7上运行，并希望更多地了解当前的漏洞，以及这是一个好主意，还是等到2月份的下一个CPU。我发现Oracle的Octobers CPU解决了安全探索（29和50）中提出的除两个以外的所有问题。感谢您提供的信息。您可能会要求将此移到security.stackexchange.com。嗯，旧版本不太安全的一个重要原因是，black Hat可以对新版本发布的修复程序中出现的问题进行反向工程。这并不总是无关紧要的，但一般来说，您应该假设一个足够旧的软件有几个大型的、众所周知的安全漏洞。（这甚至不考虑安全性研究在修复发布后充分披露的情况）。