Kritische Schwachstelle auf "Java.com" gefunden

Auf der Downloadseite von Java konnte eine Sicherheitslücke gefunden werden, durch die sich für die Besucher möglicherweise weitreichende Gefahren ergeben könnten. Offenbar ist das Problem seit 2010 bekannt. David Vieira-Kurz von 'Secalert' teilte gegenüber WinFuture mit, dass ein Angreifer unter Umständen über einen vertrauenswürdigen Kanal beliebige eigene Paramater einfügen könnte. Auf diesem Wege könnte man beispielsweise Malware über die Webseite in Umlauf bringen oder manipulierte Pressemitteilungen veröffentlichen.

Ein solcher Angriff dürfte dem Großteil der Besucher gar nicht erst auffallen, vermutet der in Berlin ansässige Sicherheitsexperte. Immerhin bekommt man ein vertrauenswürdiges SSL-Zertifikat präsentiert, welches auf eine seriöse Webseite schließen lässt.

Ein Angreifer könnte diesen Sachverhalt ausnutzen und ahnungslose Personen über entsprechend präparierte Links zu einem Besuch des Angebots bewegen und letztlich eigene Malware anstelle der aktuellen Version des Java-SDK oder der Java-Runtime Dateien zum Download anbieten.

Inzwischen hat sich herausgestellt, dass schon im Oktober 2010 jemand auf diese Problematik aufmerksam wurde. Das zuständige Oracle-Security Team wurde über das Vorhandensein dieser Lücke bereits informiert.