Weitere kritische Sicherheitslücke in Java SE entdeckt

Das polnische Sicherheitsunternehmen Security Explorations hat eine weitere kritische Sicherheitslücke in Java SE gefunden. Die Schwachstelle steckt in den Java-Versionen 5, 6 und 7. Laut CEO Adam Gowdiak ist Oracle über die Anfälligkeit informiert.

„Wir waren in der Lage, den Fehler erfolgreich auszunutzen und die Sicherheits-Sandbox von Java vollständig zu umgehen“, schreibt Gowdiak in einer auf Full Disclosure veröffentlichten Mitteilung. „Wir hoffen, dass die Nachricht, dass über eine Milliarde Nutzer von Oracles Java-SE-Software angreifbar sind, Larry Ellison nicht die Freude an seinem morgendlichen Java-Kaffee verdirbt.“

Nach Angaben des Unternehmens wurde der Exploit unter einem vollständig gepatchten Windows 7 32-Bit mit den Browsern Firefox 15, Chrome 21, Internet Explorer 9, Opera 12 und Safari 5 getestet. Anfällig seien die Java-SE-Versionen 5 Update 22, 6 Update 35 und 7 Update 7.

„Der jetzt entdeckte Bug ist aus mehreren Gründen etwas Besonderes“, heißt es weiter. Es sei der fünfzigste Java-Fehler, den Security Explorations ausfindig gemacht habe, und er ermögliche es, eine grundlegende Sicherheitseinschränkung der Java Virtual Machine außer Kraft zu setzen. Die Anfälligkeit sei außerdem der am kommenden Wochenende beginnenden Oracle-Konferenz JavaOne gewidmet.

Oracle habe die Schwachstelle inzwischen bestätigt, sagte Gowdiak im Gespräch mit TechWeekEurope. „Es ist das erste Mal, dass uns das Unternehmen noch an dem Tag, an dem wir den Fehler meldeten, eine Bestätigung übermittelt hat. Wir glauben, das ist ein positives Zeichen und ein möglicher Hinweis darauf, dass auch ein Fix schnell erstellt wird.“

Ende August hatte Oracle eine als kritisch eingestufte Zero-Day-Lücke in Java SE 7 gestopft. Kurz zuvor war bekannt geworden, dass das Unternehmen schon seit April von der Schwachstelle wusste. Entdecker der Lücke war ebenfalls Security Explorations.

Gowdiak kritisierte damals Oracles Sicherheitspolitik. Er fordert von Oracle einen flexibleren Patch-Zyklus. Derzeit gibt es pro Jahr nur vier planmäßige Sicherheitsupdates für Java. „Wir können Oracle zu nichts zwingen“, so Gowdiak. „Wir können nur annehmen, dass die jüngsten Ereignisse zu den richtigen Schlussfolgerungen und Änderungen bei den Sicherheitsprozessen des Unternehmens führen werden.“

[mit Material von Tom Brewster, TechWeekEurope]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago