"Milliarde Nutzer in Gefahr"

Und wieder eine dicke Sicherheitslücke in Java

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Experten haben eine neue, schwerwiegende Sicherheitslücke in Java SE entdeckt.

Nach Angaben von Security Explorations steckt die neue Lücke in allen Versionen von Java SE (= Standard Edition, für Desktops) seit 5, sprich allen Installationen der letzten acht Jahre. "Wir konnten die Schwachstelle erfolgreich angreifen und unter Java SE 5, 6 und 7 die Security Sandbox komplett aushebeln", schreibt Adam Gowdiak von der polnischen Sicherheitsfirma. Nach seiner Schätzung gefährdet die Schwachstelle "eine Milliarde Nutzer".

Gowdiak zufolge funktionierte der Exploit auf einem voll gepatchten Windows-7-PC mit allen gängigen Browsern (Firefox, Chrome, IE, Opera, Safari). Das Testing beschränkte sich auf die 32-Bit-Variante von Windows 7; Gowdiak sagte aber gegenüber "Computerworld", die Lücke lasse sich auf jeder Maschine mit Java SE 5, 6 oder 7 ausnutzen, auch unter 64-Bit Windows 7, Mac OS X, Linux oder Solaris.

Angriffsvektor ist einem Bericht des Techblogs "Ars Technica" zufolge das "Type-Security"-Sicherheitssystem in der Java Virtual Machine. Ein bösartig manipuliertes Java Applet könnte ohne Einschränkungen im Kontext eines Java-Zielprozesses wie einer Web-Anwendung laufen, so Gowdiak zur "Computerworld". Der Angreifer könne dann mit den Rechten des angemeldeten Nutzers Programme installieren, ansehen, ändern oder löschen.

Gowdiak und sein Team haben mittlerweile 50 Sicherheitslücken in Java gefunden. Für die aktuelle existiert wohl noch kein Exploit-Code "in the wild". Eine andere, die bereits aktiv angegriffen wurde, hatte Oracle im vergangenen Monat "gestopft", nachdem es bereits vier Monate zuvor darüber informiert worden war. Zur neuesten Lücke hat Security Explorations Oracle auch wieder technische Details sowie Quell- und Binär-Code für den Proof-of-Concept-Exploit übermittelt. Bislang gibt es vom Java-Gralshüter keine Stellungnahme dazu.