Fehlerhafter Java-Patch lässt Sicherheitslücke seit 2013 unangetastet

Java, Sun Microsystems, Webtechnologie Bildquelle: Sun Microsystems
Sicherheits-Experte Adam Gowdiak hat bei der in der zurückliegenden Woche stattgefunden JavaLand-Konferenz im Phantasialand in Brühl schwere Vorwürfe gegen die großen Software-Konzerne erhoben. Vor allem Oracle habe immer wieder gezeigt, wie fehlerhafte Entscheidungen zu schwerwiegenden Sicherheitslücken geführt hätten.
Einen solchen groben Fehler meint Gowdiak ausgemacht zu haben. Er zeigte bei der Sicherheits-Konferenz, wie ein alter und bekannter Fehler sich auch heute noch mit wenigen Schritten ausnutzen lässt und eine so genannte Class Spoofing Attack zulässt. Dabei wird es dem Angreifer laut Gowdiak ganz einfach gemacht aus der Java-Sandbox auszubrechen, die nur trügerische Sicherheit bietet. Gowdiak änderte nur vier Zeichen des Codes aus dem damaligen Update und konnte den Fix von Oracle wieder umgehen. Das Problem dabei: Das von Gowdiak ausgenutzte Sicherheitsleck ist laut Oracle offiziell bereits vor über zwei Jahren mit dem Java SE 7 Update 40 geschlossen worden.

Siehe auch: Malware-Autoren entdecken plötzlich die Vorzüge von Java

Wie PC World berichtet, ist es dennoch für Gowdiak ein Leichtes gewesen, genau diese Lücke, damals als CVE-2013-5838 geführt, auszunutzen. Der Fix damals war nur halbherzig ausgeführt und der Konzern soll die Sicherheitslage vollkommen falsch eingeschätzt haben. Dass es sich dabei nicht um irgendeine kleine, in der Praxis zu vernachlässigende Schwachstelle handelt, belegt das von Oracle genutzte System zur Einstufung der Gefährlichkeit, der so genannte CVSS Base Score selbst. Damals hatte die Sicherheitslücke die Einstufung von 9,3 von 10 Punkten erhalten, wobei 10 Punkte das Maximum ist.

Auch die aktuelle Java-Version ist unsicher

Somit seien auch die heute aktuellen Java-Versionen potentiell unsicher und noch immer mit einer schwerwiegenden Sicherheitslücke aus 2013 befleckt.

Mehr dazu: Schwere Lücke: Notfall-Patch für Windows-Versionen von Java

Apple, IBM, Google - sie alle nehmen laut Gowdiak die Sicherheit und Softwareintegrität nicht Ernst genug. Ganz oben sieht Gowdiak aber Oracle, die mit ihren Fehlentscheidungen immer wieder die ganze Industrie und ihre Millionen täglicher Nutzer der Gefahr von Hacker-Angriffen aussetzen.

Adam Gowdiak ist dabei selbst kein Unbekannter. Er hatte bereits mit der Entdeckung eines erheblichen Security-Problems mit Java-Handys von sich Reden gemacht. Schon 2008 hatte er einen Exploit für Nokia-Handys geliefert, nachdem Oracle das Problem kleinreden wollte. Nun will er "Oracle nicht schonen", sondern deren Umvermögen und den laschen Umgang mit den Sicherheitslücken immer wieder offenlegen.

Seine Erkenntnisse hat Gowdiak nun über Sec List veröffentlicht, inklusive dem gezeigten Exploit aus seinem Vortrag.

Download
Java Runtime Environment (JRE) 7 Update 79
Download
Java Runtime Environment (JRE) 8 Update 73
Siehe auch: Aus und vorbei - Das Java-Plugin für Browser geht in den Ruhestand Java, Sun Microsystems, Webtechnologie Java, Sun Microsystems, Webtechnologie Sun Microsystems
Diese Nachricht empfehlen
Kommentieren13
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden