Abo
  • Services:
Anzeige
Oracle-Zentrale in Redwood Shores
Oracle-Zentrale in Redwood Shores (Bild: Tim Dobbelaere/CC-BY-SA 2.0)

Fehlerhafte Fehlerkorrektur: Kritische Java-Lücke nach zwei Jahren noch nicht gepatcht

Oracle-Zentrale in Redwood Shores
Oracle-Zentrale in Redwood Shores (Bild: Tim Dobbelaere/CC-BY-SA 2.0)

Eine zwei Jahre alte Sicherheitslücke in Oracles Java-Umgebung ist offenbar nur unzureichend gepatcht worden. Die Lücke lässt sich potenziell auf Millionen von Geräten mit Java noch immer ausnutzen, ein funktionierendes Update ist nicht in Sicht.

Schlechte Neuigkeiten für Java-Nutzer: Eine über zwei Jahre alte Lücke in Oracles Java Software Environment lässt sich noch immer ausnutzen, obwohl der Hersteller sie eigentlich lange gestopft hat. Wie die polnische Sicherheitsfirma Security Explorations herausfand (Bericht als PDF), ist der ursprüngliche Angriff auf die kritische Lücke CVE-2013-5838 weiterhin möglich. Diese ermöglicht nach Angaben der Entdecker einen Ausbruch aus der Java-Sandbox.

Anzeige

Securityaffairs zufolge hatte Oracle zum Schließen der Lücke lediglich Code aus einer älteren Version des Java Development Kit 8 rückportiert, was das Problem letztendlich aber nicht behob. Damit sind seit 30 Monaten Millionen von Geräten angreifbar, auch wenn es bisher keine öffentlichen Hinweise darauf gibt, dass die Lücke bereits ausgenutzt wurde.

Sicherheitslücke auch von Oracle als "kritisch" eingestuft

Die Lücke ermöglicht laut den ursprünglichen Entdeckern den vollständigen Ausbruch aus der Java-Sandbox, eine sogenannte Class-Spoofing-Attack, und ist auch aus der Ferne durchführbar, weshalb sie von Oracle bereits bei der "Erstentdeckung" im Juli 2013 mit 9,3 von 10 Punkten bewertet wurde. Möglich wird dies laut Security Explorations durch eine unsichere Umsetzung der Reflection-API in Java. Vielleicht ist es kein Zufall, dass Oracle Reflection in seinen Tutorials ein "relativ fortgeschrittenes Feature" nennt, das "nur von Entwicklern mit einem tiefen Verständnis der Sprache Java benutzt werden sollte".

Betroffen sind nach Angaben der Sicherheitsforscher die Versionen Java SE Update 97, Java SE 8 Update 74 und Java SE 9 Early Access Build 108.

Oracle-Patch mit nur wenigen Zeichen Code umgangen

Erstaunlich ist, wie leicht es für die Forscher offenbar gewesen ist, die bereits behoben geglaubte Lücke erneut auszunutzen. Sie mussten dazu lediglich wenige Zeichen Code ihres früheren Angriffs von 2013 ändern und einen speziell präparierten Server verwenden, der bei erstmaligen Anfragen nach einer bestimmten Klasse eine 404-Fehlermeldung ausgibt. Anders als von Oracle damals angenommen, haben die Forscher nach eigenen Angaben damit außerdem bewiesen, dass sich die Lücke nicht nur in Java-Webstart-Anwendungen und Java-Applets ausnutzen lässt, sondern auch in Server-Umgebungen.

Auf Nachfrage von Golem.de wollte sich eine Pressesprecherin von Oracle Deutschland nicht zu der Lücke äußern. Auch einen möglichen Termin für einen Patch konnte sie nicht nennen. Es gebe über die bereits öffentlichen Fakten hinaus keine weiteren Informationen, hieß es. Möglich wäre neben einem Notfallpatch auch eine Korrektur durch das nächste reguläre Critical-Patch-Update, das offenbar für den 19. April 2016 vorgesehen ist.

Oracle will künftig auf Java-Plugins verzichten - in modernen Browsern läuft die Unterstützung für NPAPI-Plugins ohnehin aus, eine Neuentwicklung will Oracle nicht vornehmen. Wer Java nicht unbedingt braucht, sollte auf den Einsatz ohnehin verzichten.


eye home zur Startseite
Atalanttore 28. Apr 2016

Wie soll Larry denn da noch den Unterhalt seiner Villen, Sportwagen, Yachten und Jets...

matok 15. Mär 2016

Das beste für Java wäre es, wenn Google es kaufen würde. Aber seit wann will Oracle für...



Anzeige

Stellenmarkt
  1. Deutsche Bundesbank, Düsseldorf
  2. BG-Phoenics GmbH, Hannover
  3. HFO Telecom AG, Oberkotzau (Raum Hof)
  4. Springer Science+Business Media Deutschland GmbH, Berlin


Anzeige
Spiele-Angebote
  1. (-15%) 29,59€
  2. (-15%) 33,99€
  3. 64,97€/69,97€

Folgen Sie uns
       


  1. Komplett-PC

    In Nvidias Battleboxen steckt AMDs Ryzen

  2. Internet

    Cloudflare macht IPv6 parallel zu IPv4 jetzt Pflicht

  3. Square Enix

    Neustart für das Final Fantasy 7 Remake

  4. Agesa 1006

    Ryzen unterstützt DDR4-4000

  5. Telekom Austria

    Nokia erreicht 850 MBit/s im LTE-Netz

  6. Star Trek Bridge Crew im Test

    Festgetackert im Holodeck

  7. Quantenalgorithmen

    "Morgen könnte ein Physiker die Quantenmechanik widerlegen"

  8. Astra

    ZDF bleibt bis zum Jahr 2020 per Satellit in SD verfügbar

  9. Kubic

    Opensuse startet Projekt für Container-Plattform

  10. Frühstart

    Kabelnetzbetreiber findet keine Modems für Docsis 3.1



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Wemo Belkin erweitert Smart-Home-System um Homekit-Bridge
  2. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  3. Tapdo Das Smart Home mit Fingerabdrücken steuern

Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später

  1. Re: Chipsätze nie angeboten???

    haxti | 23:02

  2. Mobilfunk + Festnetz-Anschluss meiner Eltern

    __destruct() | 23:02

  3. Re: Immer noch zu wenige Dienste per IPv6 erreichbar

    Käx | 22:59

  4. Re: E-Auto laden utopisch

    Eheran | 22:52

  5. Besonders traurig:

    __destruct() | 22:49


  1. 18:08

  2. 17:37

  3. 16:55

  4. 16:46

  5. 16:06

  6. 16:00

  7. 14:21

  8. 13:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel