Abo
  • Services:

Fehlerhafte Fehlerkorrektur: Kritische Java-Lücke nach zwei Jahren noch nicht gepatcht

Eine zwei Jahre alte Sicherheitslücke in Oracles Java-Umgebung ist offenbar nur unzureichend gepatcht worden. Die Lücke lässt sich potenziell auf Millionen von Geräten mit Java noch immer ausnutzen, ein funktionierendes Update ist nicht in Sicht.

Artikel veröffentlicht am ,
Oracle-Zentrale in Redwood Shores
Oracle-Zentrale in Redwood Shores (Bild: Tim Dobbelaere/CC-BY-SA 2.0)

Schlechte Neuigkeiten für Java-Nutzer: Eine über zwei Jahre alte Lücke in Oracles Java Software Environment lässt sich noch immer ausnutzen, obwohl der Hersteller sie eigentlich lange gestopft hat. Wie die polnische Sicherheitsfirma Security Explorations herausfand (Bericht als PDF), ist der ursprüngliche Angriff auf die kritische Lücke CVE-2013-5838 weiterhin möglich. Diese ermöglicht nach Angaben der Entdecker einen Ausbruch aus der Java-Sandbox.

Stellenmarkt
  1. über duerenhoff GmbH, Stuttgart
  2. ESG Elektroniksystem- und Logistik-GmbH, München

Securityaffairs zufolge hatte Oracle zum Schließen der Lücke lediglich Code aus einer älteren Version des Java Development Kit 8 rückportiert, was das Problem letztendlich aber nicht behob. Damit sind seit 30 Monaten Millionen von Geräten angreifbar, auch wenn es bisher keine öffentlichen Hinweise darauf gibt, dass die Lücke bereits ausgenutzt wurde.

Sicherheitslücke auch von Oracle als "kritisch" eingestuft

Die Lücke ermöglicht laut den ursprünglichen Entdeckern den vollständigen Ausbruch aus der Java-Sandbox, eine sogenannte Class-Spoofing-Attack, und ist auch aus der Ferne durchführbar, weshalb sie von Oracle bereits bei der "Erstentdeckung" im Juli 2013 mit 9,3 von 10 Punkten bewertet wurde. Möglich wird dies laut Security Explorations durch eine unsichere Umsetzung der Reflection-API in Java. Vielleicht ist es kein Zufall, dass Oracle Reflection in seinen Tutorials ein "relativ fortgeschrittenes Feature" nennt, das "nur von Entwicklern mit einem tiefen Verständnis der Sprache Java benutzt werden sollte".

Betroffen sind nach Angaben der Sicherheitsforscher die Versionen Java SE Update 97, Java SE 8 Update 74 und Java SE 9 Early Access Build 108.

Oracle-Patch mit nur wenigen Zeichen Code umgangen

Erstaunlich ist, wie leicht es für die Forscher offenbar gewesen ist, die bereits behoben geglaubte Lücke erneut auszunutzen. Sie mussten dazu lediglich wenige Zeichen Code ihres früheren Angriffs von 2013 ändern und einen speziell präparierten Server verwenden, der bei erstmaligen Anfragen nach einer bestimmten Klasse eine 404-Fehlermeldung ausgibt. Anders als von Oracle damals angenommen, haben die Forscher nach eigenen Angaben damit außerdem bewiesen, dass sich die Lücke nicht nur in Java-Webstart-Anwendungen und Java-Applets ausnutzen lässt, sondern auch in Server-Umgebungen.

Auf Nachfrage von Golem.de wollte sich eine Pressesprecherin von Oracle Deutschland nicht zu der Lücke äußern. Auch einen möglichen Termin für einen Patch konnte sie nicht nennen. Es gebe über die bereits öffentlichen Fakten hinaus keine weiteren Informationen, hieß es. Möglich wäre neben einem Notfallpatch auch eine Korrektur durch das nächste reguläre Critical-Patch-Update, das offenbar für den 19. April 2016 vorgesehen ist.

Oracle will künftig auf Java-Plugins verzichten - in modernen Browsern läuft die Unterstützung für NPAPI-Plugins ohnehin aus, eine Neuentwicklung will Oracle nicht vornehmen. Wer Java nicht unbedingt braucht, sollte auf den Einsatz ohnehin verzichten.



Anzeige
Spiele-Angebote
  1. 4,95€

Atalanttore 28. Apr 2016

Wie soll Larry denn da noch den Unterhalt seiner Villen, Sportwagen, Yachten und Jets...

matok 15. Mär 2016

Das beste für Java wäre es, wenn Google es kaufen würde. Aber seit wann will Oracle für...


Folgen Sie uns
       


HP Z2 Mini Workstation - Test

Die Z2 Mini Workstation G3 kann uns im Test überzeugen - und das nicht als sehr schnelle Maschine, sondern als gut durchdachtes Gesamtkonzept.

HP Z2 Mini Workstation - Test Video aufrufen
Dell XPS 13 (9370) im Test: Sehr gut ist nicht besser
Dell XPS 13 (9370) im Test
Sehr gut ist nicht besser

Mit dem XPS 13 (9370) hat Dell sein bisher exzellentes Ultrabook in nahezu allen Bereichen überarbeitet - und es teilweise verschlechtert. Der Akku etwa ist kleiner, das spiegelnde Display nervt. Dafür überzeugen die USB-C-Ports, die Kühlung sowie die Tastatur, und die Webcam wurde sinnvoller.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ultrabook Dell hat das XPS 13 ruiniert
  2. XPS 13 (9370) Dells Ultrabook wird dünner und läuft kürzer
  3. Ultrabook Dell aktualisiert XPS 13 mit Quadcore-Chip

Oracle vs. Google: Dieses Urteil darf nicht bleiben
Oracle vs. Google
Dieses Urteil darf nicht bleiben

Im Fall Oracle gegen Google fällt ein eigentlich nicht zuständiges Gericht ein für die IT-Industrie eventuell katastrophales Urteil. Denn es kann zu Urhebertrollen, Innovationsblockaden und noch mehr Milliardenklagen führen. Einzige Auswege: der Supreme Court oder Open Source.
Eine Analyse von Sebastian Grüner

  1. Oracle gegen Google Java-Nutzung in Android kein Fair Use

Far Cry 5 im Test: Schöne Welt voller Spinner
Far Cry 5 im Test
Schöne Welt voller Spinner

Der Messias von Montana trägt Pornobrille und hat eine Privatarmee - aber nicht mit uns gerechnet: In Far Cry 5 kämpfen wir auf Bergwiesen und in Bauernhöfen gegen seine Anhänger. Das macht dank einiger Serienänderungen zwar Spaß, dennoch verschenkt das Actionspiel von Ubisoft viel Potenzial.
Von Peter Steinlechner

  1. Far Cry 5 Offenbar Denuvo 5 und zwei weitere Schutzsysteme geknackt
  2. Ubisoft Far Cry 5 schafft Serienrekord und Spieler werfen Schaufeln
  3. Ubisoft Far Cry 5 erlaubt Kartenbau mit Fremdinhalten

    •  /