Eine altbekannte Schwachstelle in Java SE scheint wieder offen zu stehen. Wie Adam Gowdiak, Chef des polnischen Sicherheitsanbieters Security Explorations berichtet, soll Oracle bereits im September 2013 das Leck behoben haben. Doch der Patch scheint unwirksam zu sein. Daher sei es Angreifern möglich, Code außerhalb der Java-Sandbox auszuführen.

“Wir haben herausgefunden, dass sich der Oracle-Patch leicht umgehen lässt”, schreibt Gowdiak in einem Eintrag auf Full Disclosure. Dafür müssten lediglich vier Zeichen des ursprünglich im Oktober 2013 veröffentlichten Angriffscodes geändert werden. Zudem müsse ein HTTP-Server dazu gebracht werden, auf eine erste Anfrage nach einer bestimmten Java-Klasse mit einer “404 (nicht gefunden)”-Fehlermeldung zu reagieren.

Security Explorations bietet den aktualisierten Angriffscode und auch eine detaillierte Beschreibung der Sicherheitslücke (PDF) an. Getestet wurde er mit Java SE 7 Update 97, Java SE 8 Update 74 und auch dem Early Access Build 108 von Java SE 9. Gowdiak weist allerdings darauf hin, dass die Click2Play-Funktion, die vor der Ausführung von Java-Applets die Zustimmung eines Nutzers einholt, nicht beeinträchtigt ist.

Wenn eine Webseite versucht, eine anfällige Anwendung außerhalb des Browsers zu laden, bekommen Anwender diese Warnung zu sehen. (Bild: Microsoft)

Die Sicherheitsforscher haben Oracle im Vorfeld nicht über den fehlerhaften Patch informiert. Als Grund dafür nennt es eine neue Richtlinie für die Veröffentlichung von Sicherheitslücken. “Defekte Fixes werden nicht mehr toleriert. Wenn wir auf einen kaputten Fix für eine Anfälligkeit treffen, die wir bereits dem Hersteller gemeldet haben, wird sie ohne Vorankündigung öffentlich gemacht”, so Gowdiak weiter.

Darüber hinaus kritisiert Gowdiak Oracles Bewertung der Schwachstelle. Das Unternehmen habe im Oktober 2013 unterstellt, dass die Lücke mit der Kennung CVE-2013-5838 nur mithilfe von Java-Web-Start-Anwendungen und Java-Applets ausgenutzt werden könne. “Wir haben bestätigt, dass ein Exploit auch in einer Serverumgebung sowie mit der Google App Engine für Java möglich ist.”

Security Explorations macht schon seit Anfang 2012 auf Sicherheitslücken in Java aufmerksam. Das Unternehmen wirft Oracle zudem vor, Patches nicht zeitnah zur Verfügung zu stellen. Bei einer Präsentation auf der JavaLand-Konferenz in Brühl (PDF) berichtete der Sicherheitsforscher von einem im September 2012 gemeldeten Fehler, den Oracle erst im Januar 2013 behoben habe. Dabei habe das Unternehmen lediglich den von Security Explorations vorgeschlagenen Fix implementiert.

[mit Material von Stefan Beiersmann, ZDNet.de]

Redaktion

Recent Posts

IT 2025: IT-Führungskräfte erwarten massiven KI-Ruck

Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.

1 Tag ago

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…

1 Tag ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

3 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

4 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

4 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

5 Tagen ago