ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Apps

Sicherheitslücke in der neuesten Java-Version von Oracle

Ferdinand Thommes
79 Kommentare

Am 19. Februar hatte die Firma Oracle zuletzt Patches für Sicherheitslücken in Java veröffentlicht. Jetzt wurden erneut Schwachstellen im Java Browser Plug-In des Java SE 7 Update 15 entdeckt, die Oracle mittlerweile auch bestätigt hat. Darüber hinaus werden Exploits der Lücken in Java SE 7 Update 11 aktiv ausgenutzt.

Erneut war es Adam Gowdiak und dessen Firma Security Explorations, die die Lücken an Oracle meldete. Die Firma war für die Aufdeckung fast sämtlicher Verwundbarkeiten von Java der letzten zwölf Monate verantwortlich. Die mit Issue 54 and 55 gekennzeichneten Probleme wurden von Gowdiak am 25. Februar an Oracle übermittelt und mit einem Proof of Concept belegt. Oracle konnte den Report mittlerweile nachvollziehen und sagte zu, die Schwachstelle schnell zu beheben.

Werden die beiden Lücken 54 und 55 in Kombination ausgenutzt, so kann damit die Java-Sandbox umgangen und Schadcode injiziert werden. Diese Vorgehensweise fand vermutlich bei den Angriffen auf Firmen wie Microsoft, Apple, Facebook, Twitter und zwei US-amerikanische Tageszeitungen Anwendung, über die letzte Woche berichtet wurde. Die Issues 54 und 55 nutzen laut Gowdiak „das Java Reflection API in interessanter Weise aus“. Mehr wollte er zu diesem frühen Zeitpunkt nicht sagen, sah „den Ball aber klar in Oracles Spielfeld“.

Die Firma Rapid 7, die auch das Metasploit-Framework betreut, warnte derweil vor einem Exploit für die Lücken in Java SE 7 Update 11, die Oracle kürzlich geschlossen hatte. Der Exploit, der mittlerweile in diversen Hackertools wie Cool EK und Popads integriert wurde, wird aktiv ausgenutzt.

Adam Gowdiak und zunehmend mehr Experten raten angesichts der nicht abreißenden Folge von sicherheitsrelevanten Vorfällen bei Java, die in jedem Fall recht schnell auch aktiv ausgenutzt wurden, Java, wenn möglich, zu deaktivieren. Ist das nicht machbar, sollte darauf geachtet werden, dass Updates sehr zeitnah eingespielt werden. Der nächste offizielle Oracle-Patchday ist der 16. April. Sollten die neuen Verwundbarkeiten aktiv ausgenutzt werden, könnte sich Oracle dazu entschließen, die Lücken vorher zu reparieren.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz