Endlich hört man von Oracle, dass der Fix des Sicherheitsproblems bei Java Version 7 Update 10 auf dem Weg ist.
Mit Ruhm hat sich Oracle nicht wirklich bekleckert, was die Abdichtung von Java angeht. Ein Sicherheitsexperte macht Oracle auf der Bugtraq-Mailingliste schwere Vorwürfe und erläutert den Ablauf.
Heise übersetzt das so:
„Unterdessen hat der polnische Sicherheitsexperte Adam Gowdiak Oracle auf der Bugtraq-Mailingliste vorgeworfen, Sicherheitsprobleme nicht gründlich genug zu untersuchen. Die jetzige Zero-Day-Lücke ermöglicht Anwendungen den Zugriff auf privilegierte Klassen unter Umgehung des Java-Security-Managers. Dabei werde ein Verfahren verwendet, so Gowdiak, über das sein Unternehmen Security Explorations Oracle bereits im August 2012 informiert habe. Der Patch vom Oktober habe jedoch nur einen Teil des Bugs mit dem Kürzel „Issue 32“ beseitigt.
Denn die von ihm „Issue 50“ getaufte (PDF-Dokument) Lücke wollte Oracle erst im Februar 2013 mit dem nächsten regulären Java-Patchday schließen. Im Zusammenspiel mit „Issue 32“ und dem unvollständigen Patch habe sich die Zero-Day-Lücke geöffnet. Gowdiak will bereits eine Oktober 2012 eine Korrektur für Issue 50 an Oracle geschickt haben, die lediglich 25 Zeichen groß war.“
Die Vor einer knappen Woche entdeckte Zero Day-Lücke hat in wenigen Tagen so viele Menschen oder besser deren Computer betroffen, dass Mozilla und Apple die Java-Plugins ihrer Browser deaktivierten. Sowohl das deutsche BSI als auch das amerikanische Heimatschutzministerium warnten vor dieser Sicherheitslücke.
Pingback: Oracle schließt Sicherheitslücke mit Java Version 7 Update 11 | Klaus Ahrens: News, Tipps, Tricks und Fotos