Neue Sicherheitslücke in Reflection-API von Java entdeckt

Die Meldungen über Sicherheitslücken in Java reißen nicht ab: Nachdem Oracle vor genau einer Woche im Rahmen des turnusmäßigen vierteljährlichen Patchday insgesamt 42 Sicherheitslücken in Java geschlossen hat, scheint der polnische Sicherheitsexperte Adam Gowdiak ein weiteres Sicherheitsproblem entdeckt zu haben.

Die Lücke soll sich dabei einmal mehr in der Reflection-Programmierschnittstelle (API) befinden, über die eine Java-Anwendung Klassen dynamisch nutzen kann. Aktuell kann ein Angreifer über diese jedoch die Sandbox umgehen und dann direkt auf das zu Grunde liegende System zugreifen. Wie, das erzählt Gowdiak natürlich noch nicht. Damit der Angriff erfolgreich ist, muss der Anwender aber zunächst die seit dem letzten Update verschärfte Sicherheitswarnung bestätigen, die den Nutzer darüber informiert, dass ein Java-Applet ausgeführt werden soll. Eine Infektion nur durch den Besuch einer Webseite ist damit zunächst nicht möglich.

Betroffen von der Sicherheitslücke ist nach Gowdiaks Angaben neben der aktuellen Java Standard Edition 7, einschließlich der vor Kurzem veröffentlichten Version Java 7 Update 21, interessanterweise auch das Server-JRE. Die offensichtliche Frage, wie denn der Angriffs-Code in die VM des Servers geraten soll, beantwortet Gowdiak auf der unternehmenseigenen Internetseite seiner Firma Security Explorations lediglich mit einem sehr vagen Verweis auf Software und APIs, die das Einschleusen von Java-Code erlauben. Weiterhin verweist er auf die von Oracle online gestellten Richtlinien für sicheres Programmieren mit Java, und hier im Besonderen auf den Punkt 3-8.

Den Angaben des Sicherheitsexperten zufolge habe er Oracle bereits auf die Sicherheitslücke hingewiesen und zugleich mit einem entsprechenden Proof of Concept belegt. Wann Oracle die neue Sicherheitslücke schließen wird, ist zu diesem Zeitpunkt jedoch noch unbekannt.