Abo
  • Services:
Anzeige
Oracle-Zentrale in Redwood Shores
Oracle-Zentrale in Redwood Shores (Bild: Tim Dobbelaere/CC-BY-SA 2.0)

Fehlerhafte Fehlerkorrektur: Kritische Java-Lücke nach zwei Jahren noch nicht gepatcht

Oracle-Zentrale in Redwood Shores
Oracle-Zentrale in Redwood Shores (Bild: Tim Dobbelaere/CC-BY-SA 2.0)

Eine zwei Jahre alte Sicherheitslücke in Oracles Java-Umgebung ist offenbar nur unzureichend gepatcht worden. Die Lücke lässt sich potenziell auf Millionen von Geräten mit Java noch immer ausnutzen, ein funktionierendes Update ist nicht in Sicht.

Schlechte Neuigkeiten für Java-Nutzer: Eine über zwei Jahre alte Lücke in Oracles Java Software Environment lässt sich noch immer ausnutzen, obwohl der Hersteller sie eigentlich lange gestopft hat. Wie die polnische Sicherheitsfirma Security Explorations herausfand (Bericht als PDF), ist der ursprüngliche Angriff auf die kritische Lücke CVE-2013-5838 weiterhin möglich. Diese ermöglicht nach Angaben der Entdecker einen Ausbruch aus der Java-Sandbox.

Anzeige

Securityaffairs zufolge hatte Oracle zum Schließen der Lücke lediglich Code aus einer älteren Version des Java Development Kit 8 rückportiert, was das Problem letztendlich aber nicht behob. Damit sind seit 30 Monaten Millionen von Geräten angreifbar, auch wenn es bisher keine öffentlichen Hinweise darauf gibt, dass die Lücke bereits ausgenutzt wurde.

Sicherheitslücke auch von Oracle als "kritisch" eingestuft

Die Lücke ermöglicht laut den ursprünglichen Entdeckern den vollständigen Ausbruch aus der Java-Sandbox, eine sogenannte Class-Spoofing-Attack, und ist auch aus der Ferne durchführbar, weshalb sie von Oracle bereits bei der "Erstentdeckung" im Juli 2013 mit 9,3 von 10 Punkten bewertet wurde. Möglich wird dies laut Security Explorations durch eine unsichere Umsetzung der Reflection-API in Java. Vielleicht ist es kein Zufall, dass Oracle Reflection in seinen Tutorials ein "relativ fortgeschrittenes Feature" nennt, das "nur von Entwicklern mit einem tiefen Verständnis der Sprache Java benutzt werden sollte".

Betroffen sind nach Angaben der Sicherheitsforscher die Versionen Java SE Update 97, Java SE 8 Update 74 und Java SE 9 Early Access Build 108.

Oracle-Patch mit nur wenigen Zeichen Code umgangen

Erstaunlich ist, wie leicht es für die Forscher offenbar gewesen ist, die bereits behoben geglaubte Lücke erneut auszunutzen. Sie mussten dazu lediglich wenige Zeichen Code ihres früheren Angriffs von 2013 ändern und einen speziell präparierten Server verwenden, der bei erstmaligen Anfragen nach einer bestimmten Klasse eine 404-Fehlermeldung ausgibt. Anders als von Oracle damals angenommen, haben die Forscher nach eigenen Angaben damit außerdem bewiesen, dass sich die Lücke nicht nur in Java-Webstart-Anwendungen und Java-Applets ausnutzen lässt, sondern auch in Server-Umgebungen.

Auf Nachfrage von Golem.de wollte sich eine Pressesprecherin von Oracle Deutschland nicht zu der Lücke äußern. Auch einen möglichen Termin für einen Patch konnte sie nicht nennen. Es gebe über die bereits öffentlichen Fakten hinaus keine weiteren Informationen, hieß es. Möglich wäre neben einem Notfallpatch auch eine Korrektur durch das nächste reguläre Critical-Patch-Update, das offenbar für den 19. April 2016 vorgesehen ist.

Oracle will künftig auf Java-Plugins verzichten - in modernen Browsern läuft die Unterstützung für NPAPI-Plugins ohnehin aus, eine Neuentwicklung will Oracle nicht vornehmen. Wer Java nicht unbedingt braucht, sollte auf den Einsatz ohnehin verzichten.


eye home zur Startseite
Atalanttore 28. Apr 2016

Wie soll Larry denn da noch den Unterhalt seiner Villen, Sportwagen, Yachten und Jets...

matok 15. Mär 2016

Das beste für Java wäre es, wenn Google es kaufen würde. Aber seit wann will Oracle für...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Reutlingen
  2. Joseph Vögele AG, Ludwigshafen
  3. Deutscher Alpenverein e. V., München
  4. BLANCO GmbH + CO KG, Oberderdingen


Anzeige
Top-Angebote
  1. (u. a. Palit Geforce GTX 1070 für 434,90€, Zotac Geforce GTX 1080 nur 689,00€, Samsung M.2 256...
  2. 199,00€
  3. 0,90€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Mehr dazu im aktuellen Whitepaper von Bitdefender
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Ausfall

    Störung im Netz von Netcologne

  2. Cinema 3D

    Das MIT arbeitet an 3D-Kino ohne Brille

  3. AVM

    Hersteller für volle Routerfreiheit bei Glasfaser und Kabel

  4. Hearthstone

    Blizzard feiert eine Nacht in Karazhan

  5. Gmane

    Wichtiges Mailing-Listen-Archiv offline

  6. Olympia

    Kann der Hashtag #Rio2016 verboten werden?

  7. Containerverwaltung

    Docker für Mac und Windows ist einsatzbereit

  8. Drosselung

    Telekom schafft wegen intensiver Nutzung Spotify-Option ab

  9. Quantenkrytographie

    Chinas erster Schritt zur Quantenkommunikation per Satellit

  10. Sony

    Absatz der Playstation 4 weiter stark



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Verbindungsturbo: Wie Googles Rack TCP deutlich schneller machen soll
Verbindungsturbo
Wie Googles Rack TCP deutlich schneller machen soll
  1. Black Hat 2016 Neuer Angriff schafft Zugriff auf Klartext-URLs trotz HTTPS
  2. Anniversary Update Wie Microsoft seinen Edge-Browser effizienter macht
  3. Patchday Microsoft behebt Sicherheitslücke aus Windows-95-Zeiten

Headlander im Kurztest: Galaktisches Abenteuer mit Köpfchen
Headlander im Kurztest
Galaktisches Abenteuer mit Köpfchen
  1. Hello Games No Man's Sky braucht kein Plus und keine Superformel
  2. Hello Games No Man's Sky droht Rechtsstreit um "Superformel"
  3. Necropolis im Kurztest Wo zum Teufel geht es weiter?

Elementary OS Loki im Test: Hübsch und einfach kann auch kompliziert sein
Elementary OS Loki im Test
Hübsch und einfach kann auch kompliziert sein
  1. Linux-Distribution Ubuntu diskutiert Ende der 32-Bit-Unterstützung
  2. Dells XPS 13 mit Ubuntu im Test Endlich ein Top-Notebook mit Linux!
  3. Aquaris M10 Ubuntu Edition im Test Ubuntu versaut noch jedes Tablet

  1. Re: Aussehen ist nicht das Problem

    Seitan-Sushi-Fan | 01:38

  2. Re: Dumme Frage: Was zählt zum Begriff...

    amagol | 01:30

  3. Re: Windows-Unterstützung

    Seitan-Sushi-Fan | 01:24

  4. nessapna sierP ned hcafnie etllos mokeleT

    Eurit | 01:15

  5. Re: Mit anderen Worten...

    amagol | 01:02


  1. 18:21

  2. 18:05

  3. 17:23

  4. 17:04

  5. 16:18

  6. 14:28

  7. 13:00

  8. 12:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel