1588882

Sicherheit

Erneut kritische Java-Lücke entdeckt

26.09.2012 | 14:59 Uhr |

Nicht einmal einen Monat nach dem Java-Sicherheitsupdate, das nicht alle Lücken geschlossen hat, finden Sicherheitsexperten eine weitere kritische Lücke in Java.

Erst Ende August hat Oracle ein Sicherheitsupdate für vier Java-Lücken bereitstellen müssen. Betroffen ist  Java 7, drei der Lücken werden als kritisch eingestuft. Die nicht-kritische Lücke betrifft aber auch Java 6. Reagiert hat der Konzern, so der Vorwurf, aber erst, als die Lücken ausgenutzt wurden. Doch das Update lässt viele Lücken offen, die Oracle schon seit April bekannt sein sollen. Auf Nummer Sicher geht nur, wer Java im Browser deaktiviert.
 
Dass das Update viele Lücken offen lässt, meldeten damals Forscher des polnischen Sicherheitsunternehmens Security Explorations. Und von Security Explorations kommt auch die aktuelle Warnung vor einer neuen kritischen Java-Lücke, die die Versionen 5, 6 und 7 betrifft. Genauer gesagt: Java SE 5 Update 22 (build 1.5.0_22-b03), Java SE 6 Update 35 (build 1.6.0_35-b10) und Java SE 7 Update 7 (build 1.7.0_07-b10).Die Forscher seien in der Lage gewesen, die Lücke erfolgreich auszunutzen und sich dadurch an der Sandbox von Java vorbeizumogeln. Die Sandbox soll eigentlich Angriffe ins Leere laufen lassen, indem Sie Windows von Java abschirmt.
 
Das Testsystem, auf dem der Angriff erfolgreich durchgeführt werden konnte: Windows 7 (32-Bit), Firefox 15.0.1, Google Chrome 21.0.1180.89 (erst heute ist Chrome 22 erschienen) , Internet Explorer 9.0.8112.16421, Opera 12.02 und Safari 5.1.7. Security Explorations sagt, dass man die Lücke bereits Oracle gemeldet habe, inklusive Beweis (Proof of concept). Security Explorations schreibt, dass 1 Milliarde Java-Nutzer betroffen seien. Ob die Lücke bereits ausgenutzt wird, ist nicht klar.

0 Kommentare zu diesem Artikel
1588882