Abo
  • Services:
Anzeige
Oracle-Zentrale in Redwood Shores
Oracle-Zentrale in Redwood Shores (Bild: Tim Dobbelaere/CC-BY-SA 2.0)

Fehlerhafte Fehlerkorrektur: Kritische Java-Lücke nach zwei Jahren noch nicht gepatcht

Eine zwei Jahre alte Sicherheitslücke in Oracles Java-Umgebung ist offenbar nur unzureichend gepatcht worden. Die Lücke lässt sich potenziell auf Millionen von Geräten mit Java noch immer ausnutzen, ein funktionierendes Update ist nicht in Sicht.

Schlechte Neuigkeiten für Java-Nutzer: Eine über zwei Jahre alte Lücke in Oracles Java Software Environment lässt sich noch immer ausnutzen, obwohl der Hersteller sie eigentlich lange gestopft hat. Wie die polnische Sicherheitsfirma Security Explorations herausfand (Bericht als PDF), ist der ursprüngliche Angriff auf die kritische Lücke CVE-2013-5838 weiterhin möglich. Diese ermöglicht nach Angaben der Entdecker einen Ausbruch aus der Java-Sandbox.

Anzeige

Securityaffairs zufolge hatte Oracle zum Schließen der Lücke lediglich Code aus einer älteren Version des Java Development Kit 8 rückportiert, was das Problem letztendlich aber nicht behob. Damit sind seit 30 Monaten Millionen von Geräten angreifbar, auch wenn es bisher keine öffentlichen Hinweise darauf gibt, dass die Lücke bereits ausgenutzt wurde.

Sicherheitslücke auch von Oracle als "kritisch" eingestuft

Die Lücke ermöglicht laut den ursprünglichen Entdeckern den vollständigen Ausbruch aus der Java-Sandbox, eine sogenannte Class-Spoofing-Attack, und ist auch aus der Ferne durchführbar, weshalb sie von Oracle bereits bei der "Erstentdeckung" im Juli 2013 mit 9,3 von 10 Punkten bewertet wurde. Möglich wird dies laut Security Explorations durch eine unsichere Umsetzung der Reflection-API in Java. Vielleicht ist es kein Zufall, dass Oracle Reflection in seinen Tutorials ein "relativ fortgeschrittenes Feature" nennt, das "nur von Entwicklern mit einem tiefen Verständnis der Sprache Java benutzt werden sollte".

Betroffen sind nach Angaben der Sicherheitsforscher die Versionen Java SE Update 97, Java SE 8 Update 74 und Java SE 9 Early Access Build 108.

Oracle-Patch mit nur wenigen Zeichen Code umgangen

Erstaunlich ist, wie leicht es für die Forscher offenbar gewesen ist, die bereits behoben geglaubte Lücke erneut auszunutzen. Sie mussten dazu lediglich wenige Zeichen Code ihres früheren Angriffs von 2013 ändern und einen speziell präparierten Server verwenden, der bei erstmaligen Anfragen nach einer bestimmten Klasse eine 404-Fehlermeldung ausgibt. Anders als von Oracle damals angenommen, haben die Forscher nach eigenen Angaben damit außerdem bewiesen, dass sich die Lücke nicht nur in Java-Webstart-Anwendungen und Java-Applets ausnutzen lässt, sondern auch in Server-Umgebungen.

Auf Nachfrage von Golem.de wollte sich eine Pressesprecherin von Oracle Deutschland nicht zu der Lücke äußern. Auch einen möglichen Termin für einen Patch konnte sie nicht nennen. Es gebe über die bereits öffentlichen Fakten hinaus keine weiteren Informationen, hieß es. Möglich wäre neben einem Notfallpatch auch eine Korrektur durch das nächste reguläre Critical-Patch-Update, das offenbar für den 19. April 2016 vorgesehen ist.

Oracle will künftig auf Java-Plugins verzichten - in modernen Browsern läuft die Unterstützung für NPAPI-Plugins ohnehin aus, eine Neuentwicklung will Oracle nicht vornehmen. Wer Java nicht unbedingt braucht, sollte auf den Einsatz ohnehin verzichten.


eye home zur Startseite
Atalanttore 28. Apr 2016

Wie soll Larry denn da noch den Unterhalt seiner Villen, Sportwagen, Yachten und Jets...

matok 15. Mär 2016

Das beste für Java wäre es, wenn Google es kaufen würde. Aber seit wann will Oracle für...



Anzeige

Stellenmarkt
  1. gkv informatik, Wuppertal
  2. LEGIAL AG, München
  3. ATS Gesellschaft für angewandte technische Systeme mbH, Kassel
  4. über JobLeads GmbH, Berlin


Anzeige
Spiele-Angebote
  1. 329,00€
  2. (-31%) 8,99€
  3. 6,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Gulp-Umfrage

    Welche Kenntnisse IT-Freiberufler brauchen

  2. HPE

    650 Millionen Dollar für den Einstieg in die Hyperkonvergenz

  3. Begnadigung

    Danke, Chelsea Manning!

  4. Android 7

    Nougat für Smartphones von Sony, Oneplus, LG und Huawei

  5. Simplygon

    Microsoft reduziert 3D-Details

  6. Nach Begnadigung Mannings

    Assange weiter zu Auslieferung in die USA bereit

  7. Startups

    Rocket will 2017 drei Firmen in Gewinnzone bringen

  8. XMPP

    Chatsecure bringt OMEMO-Verschlüsselung fürs iPhone

  9. Special N.N.V.

    Nanoxias Lüfter sollen keinerlei Vibrationen übertragen

  10. Intel

    Internet-of-Things-Plattform auf x86-Basis angekündigt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Nintendo Switch Eltern bekommen totale Kontrolle per App
  2. Nintendo Switch erscheint am 3. März
  3. Nintendo Switch Drei Stunden Mobilnutzung und 32 GByte interner Speicher

Autonomes Fahren: Laserscanner für den Massenmarkt kommen
Autonomes Fahren
Laserscanner für den Massenmarkt kommen
  1. BMW Autonome Autos sollen mehr miteinander quatschen
  2. Nissan Leaf Autonome Elektroautos rollen ab Februar auf Londons Straßen
  3. Autonomes Fahren Neodriven fährt autonom wie Geohot

Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button

  1. Re: Dummes Golem-Geschwätz!

    m_jazz | 23:09

  2. Re: was völlig fehlt

    SelfEsteem | 23:06

  3. Re: Keine #3

    Arhey | 23:06

  4. Obama halt so butthurt

    torrbox | 23:05

  5. Re: Das macht der doch...

    torrbox | 22:58


  1. 19:06

  2. 17:37

  3. 17:23

  4. 17:07

  5. 16:53

  6. 16:39

  7. 16:27

  8. 16:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel