Halbgarer Patch

Java SE 7 ist weiterhin unsicher

03.09.2012
Von 
Thomas Cloer war Redakteur der Computerwoche.
In dem von Oracle Ende vergangener Woche veröffentlichten Java SE 7 Update 7 wurden schon wieder gravierende Sicherheitslücken gefunden.

Das teilte Adam Gowdiak, Grüder und CEO des polnischen Sicherheits-Start-ups Security Explorations, dem britischen Branchendienst "The Register" in einer Email mit. Wie auch bei den drei von Oracle gestopften Sicherheitslecks erlaubt die weiterhin vorhandene Schwachstelle es demnach einem Angreifer, die Sandbox von Java komplett auszuhebeln und auf dem attackierten Rechner Malware zu installieren oder beliebigen Code auszuführen.

Immerhin gebe es aber noch keinen Exploit für die Sicherheitslücke "in the wild", so Gowdiak weiter. Er habe aber in seinem Bericht an Oracle entsprechenden Proof-of-Concept-Code mitgeschickt.

Java-Gralshüter Oracle hat die neue Schwachstelle noch nicht offiziell bestätigt, wohl aber den Eingang des Vulnerability Reorts aus Polen, der geprüft werde.

Das nächste Java Critical Patch Update (CPU) ist für den 16. Oktober vorgesehen. Ob die Sicherheitslücke damit beseitigt wird, steht aber wohl eher in den Sternen - beim letzten CPU im Juni hatte Oracle erst zwei von 29 von Security Explorations entdeckten und im April an Oracle gemeldeten Schwachstellen behoben.

Nutzern kann man angesichts dessen aktuell nur raten, das Java-Plug-in in ihren Webbrowsern zu deaktivieren oder Java gleich komplett vom Rechner zu entfernen.