02.10.2012, 00:00 Uhr
Schon wieder kritische Sicherheitslücke in Java entdeckt
Der polnische Sicherheitsexperte Adam Gowdiak hat gemeinsam mit seinem Team vor kurzem eine weitere Sicherheitslücke in den aktuellen Versionen von Oracle Java SE entdeckt. Laut der Mailingliste Full Disclosure gelang es ihnen, die Sandbox der Java Versionen 5, 6 und 7 zu umgehen. Die Sicherheitslücke erlaubt Angreifern, über ein Java-Applet im Browser Schadcode mit den Rechten des angemeldeten Nutzers einzuschleusen. Eine Milliarde Java-Nutzer könnten davon betroffen sein.
Nach Aussage von Gowdiak, ist die neu entdeckte Sicherheitslücke etwas Besonders. Zum einen ist es inzwischen die fünfzigste Sicherheitslücke, die er und sein Team entdeckt haben. Zum anderen wird darüber eine "grundlegende Sicherheitsbeschränkung der Java Virtual Machine ausgehebelt". Von der Sicherheitslücke sind Java SE 5 Update 22, Java SE 6 Update 35 und Java SE 7 Update 7 betroffen. Alle Tests wurden mit einem vollständig gepatchten Windows 7 32-Bit-Systems und folgenden Web-Browser durchgeführt:
Firefox 15.0.1
Google Chrome 21.0.1180.89
Internet Explorer 9.0.8112.16421 (update 9.0.10)
Opera 12.02 (Build 1578)
Safari 5.1.7 (7534.57.2)
Gowdiak hat Java-Hersteller Oracle über die Sicherheitslücke informiert und zur Demonstration ein Proof-of-Concept weitergeleitet. Ob die Lücke bereits aktiv ausgenutzt wird, ist nicht bekannt. Oracle hat diesmal sehr schnell reagiert und noch am selben Tage geantwortet. Das lässt hoffen, dass die Sicherheitslücke schnell beseitigt wird. (ph/com!)
Siehe auch: Trotz Update noch immer gefährliche Lücken in Java, Kostenlose Java-Sicherheitsprüfung von G Data, Anleitung zur Absicherung gegen Java 7 Sicherheitslücke,
Nach Aussage von Gowdiak, ist die neu entdeckte Sicherheitslücke etwas Besonders. Zum einen ist es inzwischen die fünfzigste Sicherheitslücke, die er und sein Team entdeckt haben. Zum anderen wird darüber eine "grundlegende Sicherheitsbeschränkung der Java Virtual Machine ausgehebelt". Von der Sicherheitslücke sind Java SE 5 Update 22, Java SE 6 Update 35 und Java SE 7 Update 7 betroffen. Alle Tests wurden mit einem vollständig gepatchten Windows 7 32-Bit-Systems und folgenden Web-Browser durchgeführt:
Firefox 15.0.1
Google Chrome 21.0.1180.89
Internet Explorer 9.0.8112.16421 (update 9.0.10)
Opera 12.02 (Build 1578)
Safari 5.1.7 (7534.57.2)
Gowdiak hat Java-Hersteller Oracle über die Sicherheitslücke informiert und zur Demonstration ein Proof-of-Concept weitergeleitet. Ob die Lücke bereits aktiv ausgenutzt wird, ist nicht bekannt. Oracle hat diesmal sehr schnell reagiert und noch am selben Tage geantwortet. Das lässt hoffen, dass die Sicherheitslücke schnell beseitigt wird. (ph/com!)
Siehe auch: Trotz Update noch immer gefährliche Lücken in Java, Kostenlose Java-Sicherheitsprüfung von G Data, Anleitung zur Absicherung gegen Java 7 Sicherheitslücke,
