Schon wieder kritische Sicherheitslücke in Java SE entdeckt

SicherheitSicherheitsmanagement
Java Logo

Sie findet sich in den Java-Versionen 5, 6 und 7. Die Schwachstelle lässt sich unter Windows 7 mit Firefox 15, IE9, Chrome 21 und Safari 5 ausnutzen. Security Explorations schätzt die Zahl der betroffenen Nutzer auf rund eine Milliarde.

Das polnische Sicherheitsunternehmen Security Explorations hat eine weitere kritische Sicherheitslücke in Java SE gefunden. Die Schwachstelle steckt in den Java-Versionen 5, 6 und 7. Laut CEO Adam Gowdiak ist Oracle über die Anfälligkeit informiert. “Wir waren in der Lage, den Fehler erfolgreich auszunutzen und die Sicherheits-Sandbox von Java vollständig zu umgehen”, schreibt Gowdiak in einer auf Full Disclosure veröffentlichten Mitteilung.

Nach Angaben des Unternehmens wurde der Exploit unter einem vollständig gepatchten Windows 7 32-Bit mit den Browsern Firefox 15, Chrome 21, Internet Explorer 9, Opera 12 und Safari 5 getestet. Anfällig seien die Java-SE-Versionen 5 Update 22, 6 Update 35 und 7 Update 7. Der fünfzigste Java-Fehler, den Security Explorations ausfindig gemacht hat, ermögliche es, eine grundlegende Sicherheitseinschränkung der Java Virtual Machine außer Kraft zu setzen.

Oracle habe die Schwachstelle inzwischen bestätigt, sagte Gowdiak im Gespräch mit TechWeekEurope. “Es ist das erste Mal, dass uns das Unternehmen am selben Tag, an dem wir den Fehler gemeldet haben, eine Bestätigung übermittelt hat. Wir glauben, das ist ein positives Zeichen und ein möglicher Hinweis darauf, dass auch ein Fix schnell erstellt wird.”

Ende August hatte Oracle eine als kritisch eingestufte Zero-Day-Lücke in Java SE 7 geschlossen. Kurz zuvor war bekannt geworden, dass das Unternehmen schon seit April von der Schwachstelle wusste. Entdecker der Lücke war ebenfalls Security Explorations.

Gowdiak kritisierte damals Oracles Sicherheitspolitik. Er fordert von Oracle einen flexibleren Patch-Zyklus. Derzeit gibt es pro Jahr nur vier planmäßige Sicherheitsupdates für Java. “Wir können Oracle zu nichts zwingen”, ergänzte Gowdiak gestern. “Wir können nur annehmen, dass die jüngsten Ereignisse zu den richtigen Schlussfolgerungen und Änderungen bei den Sicherheitsprozessen des Unternehmens führen werden.”

[mit Material von Tom Brewster, TechWeekEurope]