Weitere kritische Sicherheitslücke in Java SE entdeckt

“Wir waren in der Lage, den Fehler erfolgreich auszunutzen und die Sicherheits-Sandbox von Java vollständig zu umgehen”, schreibt Gowdiak in einer auf Full Disclosureveröffentlichten Mitteilung. “Wir hoffen, dass die Nachricht, dass über eine Milliarde Nutzer von Oracles Java-SE-Software angreifbar sind, Larry Ellison nicht die Freude an seinem morgendlichen Java-Kaffee verdirbt.”

Nach Angaben des Unternehmens wurde der Exploit unter einem vollständig gepatchten Windows 7 32-Bit mit den Browsern Firefox 15, Chrome 21, Internet Explorer 9, Opera 12 und Safari 5 getestet. Anfällig seien die Java-SE-Versionen 5 Update 22, 6 Update 35 und 7 Update 7.

“Der jetzt entdeckte Bug ist aus mehreren Gründen etwas Besonderes”, heißt es weiter. Es sei der fünfzigste Java-Fehler, den Security Explorations ausfindig gemacht habe, und er ermögliche es, eine grundlegende Sicherheitseinschränkung der Java Virtual Machine außer Kraft zu setzen. Die Anfälligkeit sei außerdem der am kommenden Wochenende beginnenden Oracle-Konferenz JavaOne gewidmet.

Oracle habe die Schwachstelle inzwischen bestätigt, sagte Gowdiak im Gespräch mit TechWeekEurope. “Es ist das erste Mal, dass uns das Unternehmen noch an dem Tag, an dem wir den Fehler meldeten, eine Bestätigung übermittelt hat. Wir glauben, das ist ein positives Zeichen und ein möglicher Hinweis darauf, dass auch ein Fix schnell erstellt wird.”

Ende August hatte Oracle eine als kritisch eingestufte Zero-Day-Lücke in Java SE 7 gestopft. Kurz zuvor war bekannt geworden, dass das Unternehmen schon seit April von der Schwachstelle wusste. Entdecker der Lücke war ebenfalls Security Explorations.

Gowdiak kritisierte damals Oracles Sicherheitspolitik. Er fordert von Oracle einen flexibleren Patch-Zyklus. Derzeit gibt es pro Jahr nur vier planmäßige Sicherheitsupdates für Java. “Wir können Oracle zu nichts zwingen”, so Gowdiak. “Wir können nur annehmen, dass die jüngsten Ereignisse zu den richtigen Schlussfolgerungen und Änderungen bei den Sicherheitsprozessen des Unternehmens führen werden.”

[mit Material von Tom Brewster, TechWeekEurope]

Redaktion

View Comments

  • Müßte das nicht genauso durch Funk, Fernsehen und Print-Presse gehen, wie das im September gefixte kritische Leck in den Internet-Explorer-Versionen?
    Welcher Otto-Normal-User kümmert sich schon um Java-Updates?

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

8 Stunden ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

8 Stunden ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago