Software::Entwicklung
Neue Sicherheitslücke in Java betrifft auch die Server-Komponente
Der polnische Sicherheitsexperte Adam Gowdiak hat erneut eine Sicherheitslücke in Java entdeckt, die diesmal angeblich nicht nur das Browser-Plugin betrifft.
Oracle
Erst vergangene Woche, anlässlich des vierteljährlichen Oracle-Patchday, hatte die Firma 42 Sicherheitslücken geschlossen, die fast alle als kritisch eingestuft waren. Viele davon waren von Adam Gowdiak und seiner Firma Security Explorations entdeckt und dokumentiert an Oracle übermittelt worden.
So verwundert es etwas, das Gowdiak jetzt auch in Java 7 Update 21 wieder eine gravierende Verwundbarkeit fand. Er berichtet darüber auf der Full Disclosure Mailingliste, das sich die Lücke einmal mehr im Reflection-API des Frameworks befindet. Über diesen Angriffsvektor lässt sich angeblich die Sandbox umgehen und Zugriff auf das zugrunde liegende System erlangen. In diesem Fall ist allerdings eine Infektion über den Besuch einer Webseite erschwert, da der Anwender zuerst eine der seit dem letzten Update verschärften Sicherheitswarnungen bestätigen muss, die ihn informiert, dass er dabei ist, ein möglicherweise bösartiges Java-Plugin zu starten.
Die neu entdeckte Lücke befindet sich aber nicht nur, wie häufig in letzter Zeit, im Browser-Plugin, sondern das Java SE Runtime Environment (JRE) ist angeblich ebenfalls betroffen. Gowdiak meint dazu, wer sich jetzt wundere, wie denn Schadcode in die Server-Anwendung gelangen kann, möge sich die Punkte drei bis acht in Oracles Richtlinien für sicheres Programmieren mit Java anschauen. Dort geht Oracle auf APIs und Komponenten ein, die potenziell für das Ausführen von Schadcode in Frage kommen. Weiter geht Gowdiak zu diesem Zeitpunkt nicht auf den genauen Infektionsweg der Server-Komponente ein. Er sagt lediglich noch, es sehe so aus, als habe Oracle in letzter Zeit lediglich im »erlaubten« Adressraum der Klassen im Reflections-API nach Lücken gesucht. Somit sei es kein Wunder, wenn sie die neue Lücke übersehen hätten.
Gowdiak hat die Verwundbarkeit, mitsamt einem Machbarkeitsnachweis versehen, an Oracle übersandt.
){kind=logo}
