一名自力歹意软件研究员警告称，收集罪犯很快就知道若何把6月份就修补好的Java缝隙整合到一款东西中，向用户策动大年夜范围报复打击。

　　操纵方针的一个关头缝隙为CVE-2013-2465，这个缝隙对所有Java 7 Update 25之前的版本都有影响，并且可以承诺长途代码履行。Oracle在6月的Java首要缝隙更新中已修复过这一缝隙。

　　安然研究团队Packet Storm Security在周一发布了该缝隙，最初，这一缝隙是在缝隙嘉奖项目标鼓动鼓励下，作为零日缝隙发现的——那时它是一个未被修复的缝隙——发现该缝隙的研究员没有公开本身的姓名。Packet Storm在获得许可的前提下，在发现了这个缝隙60天后发布了该缝隙，如许，其他安然专家便可以操纵这些信息来履行渗入测试和安然风险评估。

　　在发布两天以后，对CVE-2013-2465的开辟操纵就已被整合到了所谓的开辟东西包中，当用户拜候带有歹意代码的网站时，这些报复打击东西会操纵过时软件中没来得及打上补丁的已知缝隙侵害电脑。

　　一个自力的歹意软件研究员，网名为Kafeine，发现一个叫Styx的很活跃的缝隙安装包，之前叫Kein，这个安装包就是操纵的这个缝隙。

　　从一名报复打击者的角度来看，操纵CVE-2013-2465缝隙好过操纵CVE-2013-2460，后者也是一个在6月份被修复的缝隙，且比来也被整合到了一个名为Private Exploit Pack的报复打击东西包中，Kafeine周四在其博客中称。这是因为CVE-2013-2465影响了Java 7和Java 6的安装，而CVE-2013-2060只影响了Java 7。

　　Oracle在4月份就终止了对Java 6的撑持，并且不再向用户推出Java 6的安然更新。虽然如斯，Java 6的利用范围仍然很广，出格是在企业环境中。

　　由安然公司 Bit9所做的一项安然查询拜访表白，在利用Java系统的公司中，安装Java 6的公司超越80%。而在这些系统中，摆设最遍及的版本又是Java 6 Update 20。

　　比来的Java 6公开版本是Java 6 Update 45,这个版本也会遭到CVE-2013-2465的报复打击。这个缝隙是Java 6 Update 51的一个补丁，可是这个版本仅合用于那些需要Oracle给其供给扩大撑持合同的用户。

　　事实上，CVE-2013-2065缝隙是公开的，并且该缝隙已整合到用于大年夜范围报复打击的东西包中，这意味着，这些缝隙很快又会被遍及开辟操纵。那些还没进级到Java 7 Update 25的用户赶快进级吧。