Anzeige
Oracle-Zentrale in Redwood Shores
Oracle-Zentrale in Redwood Shores (Bild: Tim Dobbelaere/CC-BY-SA 2.0)

Fehlerhafte Fehlerkorrektur: Kritische Java-Lücke nach zwei Jahren noch nicht gepatcht

Oracle-Zentrale in Redwood Shores
Oracle-Zentrale in Redwood Shores (Bild: Tim Dobbelaere/CC-BY-SA 2.0)

Eine zwei Jahre alte Sicherheitslücke in Oracles Java-Umgebung ist offenbar nur unzureichend gepatcht worden. Die Lücke lässt sich potenziell auf Millionen von Geräten mit Java noch immer ausnutzen, ein funktionierendes Update ist nicht in Sicht.

Schlechte Neuigkeiten für Java-Nutzer: Eine über zwei Jahre alte Lücke in Oracles Java Software Environment lässt sich noch immer ausnutzen, obwohl der Hersteller sie eigentlich lange gestopft hat. Wie die polnische Sicherheitsfirma Security Explorations herausfand (Bericht als PDF), ist der ursprüngliche Angriff auf die kritische Lücke CVE-2013-5838 weiterhin möglich. Diese ermöglicht nach Angaben der Entdecker einen Ausbruch aus der Java-Sandbox.

Anzeige

Securityaffairs zufolge hatte Oracle zum Schließen der Lücke lediglich Code aus einer älteren Version des Java Development Kit 8 rückportiert, was das Problem letztendlich aber nicht behob. Damit sind seit 30 Monaten Millionen von Geräten angreifbar, auch wenn es bisher keine öffentlichen Hinweise darauf gibt, dass die Lücke bereits ausgenutzt wurde.

Sicherheitslücke auch von Oracle als "kritisch" eingestuft

Die Lücke ermöglicht laut den ursprünglichen Entdeckern den vollständigen Ausbruch aus der Java-Sandbox, eine sogenannte Class-Spoofing-Attack, und ist auch aus der Ferne durchführbar, weshalb sie von Oracle bereits bei der "Erstentdeckung" im Juli 2013 mit 9,3 von 10 Punkten bewertet wurde. Möglich wird dies laut Security Explorations durch eine unsichere Umsetzung der Reflection-API in Java. Vielleicht ist es kein Zufall, dass Oracle Reflection in seinen Tutorials ein "relativ fortgeschrittenes Feature" nennt, das "nur von Entwicklern mit einem tiefen Verständnis der Sprache Java benutzt werden sollte".

Betroffen sind nach Angaben der Sicherheitsforscher die Versionen Java SE Update 97, Java SE 8 Update 74 und Java SE 9 Early Access Build 108.

Oracle-Patch mit nur wenigen Zeichen Code umgangen

Erstaunlich ist, wie leicht es für die Forscher offenbar gewesen ist, die bereits behoben geglaubte Lücke erneut auszunutzen. Sie mussten dazu lediglich wenige Zeichen Code ihres früheren Angriffs von 2013 ändern und einen speziell präparierten Server verwenden, der bei erstmaligen Anfragen nach einer bestimmten Klasse eine 404-Fehlermeldung ausgibt. Anders als von Oracle damals angenommen, haben die Forscher nach eigenen Angaben damit außerdem bewiesen, dass sich die Lücke nicht nur in Java-Webstart-Anwendungen und Java-Applets ausnutzen lässt, sondern auch in Server-Umgebungen.

Auf Nachfrage von Golem.de wollte sich eine Pressesprecherin von Oracle Deutschland nicht zu der Lücke äußern. Auch einen möglichen Termin für einen Patch konnte sie nicht nennen. Es gebe über die bereits öffentlichen Fakten hinaus keine weiteren Informationen, hieß es. Möglich wäre neben einem Notfallpatch auch eine Korrektur durch das nächste reguläre Critical-Patch-Update, das offenbar für den 19. April 2016 vorgesehen ist.

Oracle will künftig auf Java-Plugins verzichten - in modernen Browsern läuft die Unterstützung für NPAPI-Plugins ohnehin aus, eine Neuentwicklung will Oracle nicht vornehmen. Wer Java nicht unbedingt braucht, sollte auf den Einsatz ohnehin verzichten.


eye home zur Startseite
Atalanttore 28. Apr 2016

Wie soll Larry denn da noch den Unterhalt seiner Villen, Sportwagen, Yachten und Jets...

matok 15. Mär 2016

Das beste für Java wäre es, wenn Google es kaufen würde. Aber seit wann will Oracle für...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Darmstadt, Bonn
  2. Deutsche Telekom Technischer Service GmbH, verschiedene Standorte
  3. Robert Bosch GmbH, Stuttgart-Vaihingen
  4. Kommunale Informationsverarbeitung Baden-Franken, Freiburg, Heilbronn, Heidelberg


Anzeige
Top-Angebote
  1. ab 219,00€
  2. (u. a. Core i7-6700K, i5-6600K, i7-5820K)
  3. (u. a. ROG Xonar Phoebus, Strix 2.0 Headset, Geforce GTX 960 Strix, Z170-P Mainboard, VG248QE...

Folgen Sie uns
       


  1. Brexit

    Nordrhein-Westfalen wirbt um Vodafone-Konzernzentrale

  2. Like-Buttons

    Facebook darf Daten von Nicht-Nutzern weiter speichern

  3. Linux-Distributor

    Canonical drängt Hoster zu Ubuntu-Markenlizenzen

  4. Klage gegen Apple

    Angeblicher iPhone-Erfinder will 21 Milliarden US-Dollar

  5. ELWN Fit

    Bluetooth-In-Ear-Headset mit Ersatzakku

  6. Multigeräte-Tastatur

    Logitech K780 steuert Mac, PC, Tablets und Smartphones

  7. Cloud-Notizzettel

    Evernote lässt nur noch zwei Geräte zu

  8. Layer-2-Bitstrom

    Bundesagentur fordert 100-MBit/s-Zugang für 19 Euro

  9. Thomson Reuters

    Terrordatenbank World-Check im Netz zu finden

  10. Linux-Distribution

    Ubuntu diskutiert Ende der 32-Bit-Unterstützung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Neue Windows Server: Nano bedeutet viel mehr als nur klein
Neue Windows Server
Nano bedeutet viel mehr als nur klein
  1. Windows 10 Microsoft zahlt Entschädigung für nicht gewolltes Upgrade
  2. Betriebssystem Noch einen Monat Gratis-Upgrade auf Windows 10
  3. Microsoft Patchday Das Download-Center wird nicht mehr alle Patches bieten

Geforce GTX 1080/1070 im Test: Zotac kann Geforce besser als Nvidia
Geforce GTX 1080/1070 im Test
Zotac kann Geforce besser als Nvidia
  1. Die Woche im Video Superschnelle Rechner, smarte Zähler und sicherer Spam
  2. Geforce GTX 1080/1070 Asus und MSI schummeln mit Golden Samples
  3. Geforce GTX 1070 Nvidia nennt Spezifikationen der kleinen Pascal-Karte

IT und Energiewende: Fragen und Antworten zu intelligenten Stromzählern
IT und Energiewende
Fragen und Antworten zu intelligenten Stromzählern
  1. Smart Meter Bundestag verordnet allen Haushalten moderne Stromzähler
  2. Intelligente Stromzähler Besitzern von Solaranlagen droht ebenfalls Zwangsanschluss
  3. Smart-Meter-Gateway-Anhörung Stromsparen geht auch anders

  1. Re: 100/100 für 12,88 EUR inklusive MWSt.

    postb1 | 10:17

  2. Re: Bestätigen.

    ohinrichs | 10:16

  3. Warum eine News/Beachtung?

    Phreeze | 10:16

  4. Re: Level 25 für Casuals leider nicht hoch genug.

    kurzvor12 | 10:16

  5. Re: Gut 1/4 der Bestellungen zurück gesendet

    Garius | 10:16


  1. 10:03

  2. 09:36

  3. 09:08

  4. 08:58

  5. 07:46

  6. 07:31

  7. 07:20

  8. 18:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel