Security: Java weiter unsicher
Der Sicherheitsexperte Adam Gowdiak hat eine weitere Sicherheitslücke in Java entdeckt(öffnet im neuen Fenster) , die auch in der aktuellen Version Java 7 Update 21 sowie im JRE-Plugin, in der Entwicklungsumgebung in Server JRE(öffnet im neuen Fenster) vorhanden ist. Sie kann genutzt werden, um die Sandbox-Funktion auf dem Opferrechner zu umgehen. Allerdings muss der Anwender einen entsprechenden Warnhinweis mit "OK" bestätigen, damit der Schadcode ausgeführt wird.
Gowdiak geht nicht auf die Details der von ihm entdeckten Lücke ein. Er verweist lediglich auf eine Lücke in dem Reflection-API(öffnet im neuen Fenster) , über das eine Java-Anwendung Klassen dynamisch nutzen kann. Die Lücke sei Oracle bekannt, schreibt der Sicherheitsexperte. Er habe Oracle bereits auf sie hingewiesen und ein entsprechendes Proof-of-Concept präsentiert. Oracle habe die Lücke bestätigt, aber noch nicht repariert. Damit sind noch drei Lücken in der Liste offen, die Gowdiak über die von ihm entdeckten Schwachstellen führt.
Nach Update noch Lücken
Erst vor wenigen Tagen hatte Oracle mit Java 7 Update 21 nach eigenen Angaben 42 Sicherheitslücken geschlossen. Mit dem Update hat Oracle auch die Warnhinweise erhöht, die der Nutzer erhält, wenn nicht vertrauenswürdiger Java-Code auf einer Webseite auftaucht.
Jüngst wurde bekannt, dass Angreifer Java nutzten, um sich Zugriff auf Rechner von Angestellten bei Facebook zu verschaffen . Oracle hat bereits mehrere Notfallpatches außer der Reihe veröffentlicht, nachdem Exploits für nichtgepatchte Sicherheitslücken aufgetaucht sind.
In einer Telefonkonferenz zu den Sicherheitsproblemen von Java hatte Oracle Ende Januar 2013 Besserung und mehr Transparenz in Bezug auf kritische Fragen versprochen .