Die Sammlung von Sicherheitslücken in Java-Umgebungen ist nun um ein weiteres Exemplar reicher. Der neu entdeckte Bug ermöglicht es einer Software, aus ihrer Sandbox auszubrechen und auf das Betriebssystem durchzugreifen.
Das teilte der Sicherheitsexperte Adam Gowdiak auf der Full Disclosure-Mailingliste mit. Demnach kann ein Angreifer über ein Java-Applet auch Schadcodes aus einer Sandbox im Browser heraus und in das jeweilige System einschleusen. Dort können die Routinen dann mit den Rechten des angemeldeten Nutzers ausgeführt werden - oder aber auch unter Rückgriff auf weitere Sicherheitslücken einen tieferen Zugang zum System suchen.
Wie Gowdiak ausführte, hat er den Software-Konzern Oracle bereits über die Schwachstelle informiert. Von diesem gibt es aktuell allerdings noch keine Rückmeldung, wann mit einem Patch zu rechnen ist. Sollte dieser allerdings schnell erscheinen, könnte der Bug nicht zu einem realen Problem führen. Denn bis zum aktuellen Zeitpunkt ist noch keine Malware bekannt, die den Fehler ausnutzt.
Java kam unter das Dach des Datenbank-Spezialisten, als dieser das IT-Unternehmen Sun Microsystems übernahm. Seitdem kritisieren einige Entwickler aus dem engeren Java-Umfeld, dass die Technologie eher stiefmütterlich behandelt wird. Dies ist insofern problematisch, als die aktuelle Sicherheitslücke noch etwas mehr Arbeit erfordern dürfte, als den letzten, durchaus ähnlichen Bug, den Gowdiak entdeckte.
Letzterer betraf nur die Version 7 der Plattform und es dauerte bis zur Veröffentlichung des Patches von April bis August - zumindest, wenn man vom Zeitpunkt der Veröffentlichung erster Informationen ausgeht. Oracle dürfte schon früher informiert gewesen sein. Die neue Lücke lässt sich den Angaben zufolge auch unter den Versionen 5 und 6 ausnutzen. Somit sind auch ältere Installationen betroffen, bei denen die Nutzer möglicherweise ohnehin schwer dazu zu bewegen sind, ihre Systeme auf aktuellem Stand zu halten.
Auch Unterwegs bestens informiert!
Alle Kommentare zu dieser News anzeigen