Categories: SicherheitSoftware

Oracle schließt zehn Jahre alte Java-Lücke

Oracle hat einen außerplanmäßigen Patch für eine zehn Jahre alte Schwachstelle in Javas Entwicklungsumgebung veröffentlicht, die Angreifer ohne Nutzername und Passwort aus der Ferne für Denial-of-Service-Attacken ausnutzen können. Sie steckt in JRE und JDK 6 Update 23 oder früher, JDK und JRE 5.0 Update 27 oder früher sowie SDK und JRE 1.4.2_29 oder früher.

Wie aus einer Sicherheitsmeldung des Anbieters hervorgeht, kann es bei der Konvertierung des Werts 2.2250738585072012e-308 in eine binäre Gleitkommazahl zum Absturz der Java-Laufzeitumgebung kommen. Dadurch würden vor allem javabasierte Anwendungen und Server unter Windows, Solaris und Linux anfällig für Angriffe.

Oracle stuft die Sicherheitslücke als mittelschwer ein: Im zehnstufigen Common Vulnerability Scoring System (CVSS) ist sie mit 5.0 bewertet.

Mehreren Einträgen in Foren für Java-Entwickler zufolge war der Bug erstmals 2001 gemeldet worden – damals noch an Sun Microsystems, das bis zur Übernahme durch Oracle Anfang 2010 für Java zuständig war. Im November 2009 wies Dmitry Nadezhin erneut auf die Schwachstelle hin. Dennoch wurde sie erst jetzt beseitigt.

Ein Sicherheitsexperte hatte kürzlich Oracles Patch-Politik scharf kritisiert. Der vierteljährliche Patch-Zyklus für Schwachstellen in Datenbanken habe unter den zahlreichen Übernahmen und der Eingliederung der dadurch erworbenen Produkte gelitten, sagte Amichai Shulman, CTO von Imperva, Mitte Januar. Es sei anzunehmen, dass eine größere Anzahl an Produkten auch zahlreichere Fixes notwendig mache. „Dennoch stellen wir fest, dass die Patches kleiner werden und trotz der zusätzlichen Produkte weniger Fixes beinhalten.“ Er bemängelt auch, dass Oracle keine näheren Angaben zu den Schwachstellen macht.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago