Categories: SicherheitSoftware

Kritische Zero-Day-Lücken in jüngstem Java-Update entdeckt

Das polnische Sicherheitsunternehmen Security Explorations hat erneut zwei Sicherheitslücken in Java entdeckt. Sie stecken in dem am 19. Februar veröffentlichten Update 15 für Java SE 7. Das von ihnen ausgehende Risiko stuft das Unternehmen einem Bericht von Computerworld zufolge als „kritisch“ ein.

„Wir haben uns Oracles Java SE 7 erneut angeschaut“, schreibt Adam Gowdiak, Gründer und CEO von Security Explorations, in einer E-Mail an Computerworld. „Dabei haben wir zwei neue Sicherheitsprobleme gefunden, die, wenn sie kombiniert werden, einen vollständigen Java-Sandbox-Bypass in Java SE 7 Update 15 (1.7.0_15-b03) erlauben.“

Die neuen Anfälligkeiten stecken Gowdiak zufolge nur in Java SE 7. Die Version 6, die Oracle nun offiziell nicht mehr unterstützt, sei nicht betroffen.

Oracle wurde laut Security Explorations gestern über die Schwachstellen informiert. Es habe den Erhalt der Beschreibung sowie des Proof of Concept bestätigt und eine Untersuchung eingeleitet. Darüber hinaus habe Oracle mitgeteilt, es werde nun den am 19. Januar gemeldeten Fehler Nummer 51 beseitigen. Die beiden jüngsten Sicherheitslücken tragen die Nummern 54 und 55.

Schwachstellen in Oracles Laufzeitumgebung Java wurden zuletzt für zielgerichtete Angriffe auf Apple, Facebook und Microsoft genutzt. Sie wurden nicht nur unter Windows, sondern auch unter Mac OS X missbraucht.

„Wir sind wirklich überrascht, dass so viele Hightech-Firmen Opfer einer Java-Anfälligkeit wurden“, ergänzte Gowdiak. „Es sieht so aus, als seien die Warnungen zu Sicherheitsproblemen von Java, die wir seit April 2012 aussprechen, im Silicon Valley nicht gehört worden.“

Die beiden neuen Fehler lassen sich laut Gowdiak ebenfalls für Angriffe auf Browser mit installiertem Java-Plug-in verwenden. Einzelheiten nannte er nicht – außer, dass die Java Reflection API involviert sei. „Ohne ins Detail zu gehen, weist alles darauf hin, dass Oracle wieder am Zug ist.“

Graham Cluley, Senior Technology Consultant bei Sophos, wiederholte gegenüber Computerworld seine frühere Empfehlung: „Hier ist der beste Rat, den wir derzeit geben können: Wenn Sie Java im Browser nicht brauchen, schalten Sie es ab.“

Oracle reagierte auf die zunehmende Zahl von Schwachstellen in Java mit der Ankündigung eines zusätzlichen regulären Patchdays. Das nächste Sicherheitsupdate für Java SE 7 soll nun am 16. April erscheinen. Ursprünglich waren die nächsten planmäßigen Fixes erst für Juni vorgesehen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago