Warnung vor Zero-Day-Sicherheitslücke in Java SE

javaDer Chef des polnischen Sicherheitsanbieters Security Explorations, Adam Gowdiak, hat jetzt Details zu einer Zero-Day-Lücke in Java SE veröffentlicht.

Dabei handelt es sich interessanterweise um eine Schwachstelle, die Oracle „eigentlich“ schon im September 2013 geschlossen hatte.

Dummerweise soll der Patch von Oracle allerdings unwirksam sein. Als Folge davon kann auf Java-SE-Systemen offenbar Code außerhalb der Java-Sandbox ausgeführt werden.

Wir haben herausgefunden, dass sich der Oracle-Patch leicht umgehen lässt“, schreibt Gowdiak in einem Beitrag auf Full Disclosure. Dazu müssten nur vier Zeichen des schon im Oktober 2013 veröffentlichten Angriffscodes geändert werden.

Außerdem müsse ein HTTP-Server noch dazu gebracht werden, auf eine erste Anfrage nach einer bestimmten Java-Klasse mit einer Fehlermeldung Typ „404 (nicht gefunden)“ zu reagieren.

Den aktualisierten Angriffscode bietet Security Explorations genauso zum Download an wie eine detaillierte Beschreibung dieser Sicherheitslücke als PDF-Dokument.

Getestet wurde der Exploit mit Java SE 7 Update 97, Java SE 8 Update 74 und auch mit dem Early Access Build 108 von Java SE 9.

Sicherheitsforscher Gowdiak weist allerdings besonders darauf hin, dass die Click2Play-Funktion, die vor der Ausführung von Java-Applets die Zustimmung eines Nutzers einholt, nicht beeinträchtigt ist.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet abgelegt und mit , , , , , , , , , , , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.