Java: Erneut ein Fehler im Sandboxing entdeckt

Die Sammlung von Sicherheitslücken in Java-Umgebungen ist nun um ein weiteres Exemplar reicher. Der neu entdeckte Bug ermöglicht es einer Software, aus ihrer Sandbox auszubrechen und auf das Betriebssystem durchzugreifen.

Das teilte der Sicherheitsexperte Adam Gowdiak auf der Full Disclosure-Mailingliste mit. Demnach kann ein Angreifer über ein Java-Applet auch Schadcodes aus einer Sandbox im Browser heraus und in das jeweilige System einschleusen. Dort können die Routinen dann mit den Rechten des angemeldeten Nutzers ausgeführt werden - oder aber auch unter Rückgriff auf weitere Sicherheitslücken einen tieferen Zugang zum System suchen.

Wie Gowdiak ausführte, hat er den Software-Konzern Oracle bereits über die Schwachstelle informiert. Von diesem gibt es aktuell allerdings noch keine Rückmeldung, wann mit einem Patch zu rechnen ist. Sollte dieser allerdings schnell erscheinen, könnte der Bug nicht zu einem realen Problem führen. Denn bis zum aktuellen Zeitpunkt ist noch keine Malware bekannt, die den Fehler ausnutzt.


Java kam unter das Dach des Datenbank-Spezialisten, als dieser das IT-Unternehmen Sun Microsystems übernahm. Seitdem kritisieren einige Entwickler aus dem engeren Java-Umfeld, dass die Technologie eher stiefmütterlich behandelt wird. Dies ist insofern problematisch, als die aktuelle Sicherheitslücke noch etwas mehr Arbeit erfordern dürfte, als den letzten, durchaus ähnlichen Bug, den Gowdiak entdeckte.

Letzterer betraf nur die Version 7 der Plattform und es dauerte bis zur Veröffentlichung des Patches von April bis August - zumindest, wenn man vom Zeitpunkt der Veröffentlichung erster Informationen ausgeht. Oracle dürfte schon früher informiert gewesen sein. Die neue Lücke lässt sich den Angaben zufolge auch unter den Versionen 5 und 6 ausnutzen. Somit sind auch ältere Installationen betroffen, bei denen die Nutzer möglicherweise ohnehin schwer dazu zu bewegen sind, ihre Systeme auf aktuellem Stand zu halten.
Diese Nachricht empfehlen
Videos zum Thema
 
Ein weiteres, großes Problem von Java ist der unglaublich schlechte Updater. Standardmäßig ist er auf einmal im Monat auf Udates prüfen gestellt und wenn dann der PC aus ist, dann wird einfach nicht auf ein Update geprüft. In den neueren Versionen prüft er standardmäßig wenigstens einmal die Woche und informiert dann innerhalb von 30 Tagen. Ist aber auch noch zu wenig.
 
@Hoodlum: Und wenn er mal was findet, geht er einem so dermaßen auf den Sack, dass man schon gar keine Lust hat, ein Update überhaupt durchzuführen.
 
@Hoodlum: Ich verstehe immer nicht, wieso die Updater einmal im Monat oder auch nur einmal wöchentlich laufen. Als ob es irgendwelche relevanten Ressourcen kostet, die Server alle 10 Stunden abzufragen, ob eine neue Version verfügbar ist.
 
@niete: Gibt Oracle seine Java-Updates nicht sowieso nur quartalsweise raus (regulär), es sei denn es ist ein extrem kritischer Fehler, wie zuletzt? In diesem Fall reicht einmal in der Woche prüfen eigentlich aus. Aber diese Benachrichtigung nach x Tagen ist echt sinnfrei, wenn er ein Update findet soll er gefälligst sofort sagen, was Phase ist.
 
@Hoodlum: Jo, das Ding legt nur nen Task an, der hier und da mal läuft. Wäre cool, wenn hier ein Service laufen würde, der via "push" arbeitet. Also quasi realtime. Am besten noch mit dem Hinweis, dass wichtige Sicherheitslücken gestopft wurden.


Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an
oder verwenden Sie Ihren bestehenden Zugang.

Wöchentlicher Newsletter

Beliebte Videos

powered by veeseo

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles