Auch das aktuellste Java-Update ist nicht sicher

SicherheitSicherheitsmanagement
Java Logo

Die Kombination von zwei Schwachstellen erlaubt Angreifern Schadcode außerhalb der Java-Sandbox auszuführen. Oracle ist über die neuen Löcher informiert, will sie aber erst beim nächsten regulären Patchday im April schließen.

Security Explorations hat erneut zwei Sicherheitslücken in Java entdeckt. Das polnische Sicherheitsunternehmen fand sie in dem am 19. Februar bereitsgestellten Update 15 für Java SE 7. Das durch die Lücken entstehende Risiko stuft das Unternehmen einem Bericht von Computerworld zufolge als “kritisch” ein.

“Wir haben uns Oracles Java SE 7 erneut angeschaut”, schreibt Adam Gowdiak, Gründer und CEO von Security Explorations, in einer E-Mail an Computerworld. “Als Ergebnis haben wir zwei neue Sicherheitsprobleme gefunden, die, wenn sie kombiniert werden, einen vollständigen Java-Sandbox-Bypass in Java SE 7 Update 15 (1.7.0_15-b03) erlauben.”

Die neu entdeckten Schwachstellen finden sich Gowdiak zufolge nur in Java SE 7. Die Version 6, die Oracle nun offiziell nicht mehr unterstützt, sei nicht betroffen.

Oracle wurde nach Angaben von Security Explorations gestern über die Schwachstellen informiert. Es habe den Erhalt der Beschreibung sowie des Proof of Concept bestätigt und eine Untersuchung eingeleitet. Darüber hinaus habe Oracle mitgeteilt, es werde nun den am 19. Januar gemeldeten Fehler Nummer 51 beseitigen. Den beiden jüngsten Sicherheitslücken haben dei Polen die Nummern 54 und 55 gegeben.

Sichehreitslücken in Oracles Laufzeitumgebung Java wurden zuletzt für zielgerichtete Angriffe benutzt. Prominente Opfer waren unter anderem Apple, Facebook und Microsoft. Die Lücken wurden nicht nur unter Windows, sondern auch unter Mac OS X ausgenutzt.

“Wir sind wirklich überrascht, dass so viele Hightech-Firmen Opfer einer Java-Anfälligkeit wurden”, sagt Gowdiak. “Es sieht so aus, als seien die Warnungen zu Sicherheitsproblemen von Java, die wir seit April 2012 aussprechen, im Silicon Valley nicht gehört worden.”

Die beiden neuen Fehler lassen sich laut Gowdiak ebenfalls für Angriffe auf Browser mit installiertem Java-Plug-in verwenden. Weitere Details nannte er nicht, außer, dass das Java Reflection API (Application Programming Interface) involviert sei. “Ohne ins Detail zu gehen, weist alles darauf hin, dass Oracle wieder am Zug ist.”

Graham Cluley, Senior Technology Consultant bei Sophos, wiederholte gegenüber Computerworld seine frühere Empfehlung: “Hier ist der beste Rat, den wir derzeit geben können: Wenn Sie Java im Browser nicht brauchen, schalten Sie es ab.”

Oracle reagierte auf die zunehmende Zahl von Schwachstellen in Java mit der Ankündigung eines zusätzlichen regulären Patchdays. Das nächste Sicherheitsupdate für Java SE 7 soll nun am 16. April erscheinen. Ursprünglich sollten die nächsten planmäßigen Fixes erst im Juni zur Verfügung stehen.

Tipp: Kennen Sie die größten Technik-Flops der IT-Geschichte? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de