Halbgarer Patch

Java SE 7 ist weiterhin unsicher

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
In dem von Oracle Ende vergangener Woche veröffentlichten Java SE 7 Update 7 wurden schon wieder gravierende Sicherheitslücken gefunden.
Ein Download der neuesten Java-Version hilft leider auch nicht gegen noch nicht geschlossene Sicherheitslücken...
Ein Download der neuesten Java-Version hilft leider auch nicht gegen noch nicht geschlossene Sicherheitslücken...

Das teilte Adam Gowdiak, Grüder und CEO des polnischen Sicherheits-Start-ups Security Explorations, dem britischen Branchendienst "The Register" in einer Email mit. Wie auch bei den drei von Oracle gestopften Sicherheitslecks erlaubt die weiterhin vorhandene Schwachstelle es demnach einem Angreifer, die Sandbox von Java komplett auszuhebeln und auf dem attackierten Rechner Malware zu installieren oder beliebigen Code auszuführen.

Immerhin gebe es aber noch keinen Exploit für die Sicherheitslücke "in the wild", so Gowdiak weiter. Er habe aber in seinem Bericht an Oracle entsprechenden Proof-of-Concept-Code mitgeschickt.

Java-Gralshüter Oracle hat die neue Schwachstelle noch nicht offiziell bestätigt, wohl aber den Eingang des Vulnerability Reorts aus Polen, der geprüft werde.

Das nächste Java Critical Patch Update (CPU) ist für den 16. Oktober vorgesehen. Ob die Sicherheitslücke damit beseitigt wird, steht aber wohl eher in den Sternen - beim letzten CPU im Juni hatte Oracle erst zwei von 29 von Security Explorations entdeckten und im April an Oracle gemeldeten Schwachstellen behoben.

Nutzern kann man angesichts dessen aktuell nur raten, das Java-Plug-in in ihren Webbrowsern zu deaktivieren oder Java gleich komplett vom Rechner zu entfernen.