Oracle und Microsoft blamieren sich bei Reaktion auf Java-Lücke
Der Java-Hersteller wurde anscheinend bereits vor vier Monaten über die Probleme informiert, hat aber immer noch nicht reagiert. Microsoft gibt Sicherheitstipps für den Internet Explorer, die nicht funktionieren.
- Ronald Eikenberg
Oracle weiß angeblich seit über vier Monaten von der kritischen Java-Schwachstelle, die bereits aktiv für Angriffe ausgenutzt wird – hat aber immer noch nicht reagiert. Dafür gibt immerhin Microsoft mittlerweile Tipps zum Schutz vor Infektionen – aber die funktionieren nicht.
Auf der Security-Mailingliste Bugtaq berichtet der Forscher Gowdiak, dass seine Firma Security Explorations im Rahmen eines Forschungsprojekts zahlreiche Lücken in Java entdeckt und im April dieses Jahres vertraulich an den Hersteller gemeldet hat. Unter den gemeldeten Schwachstellen sollen sich auch die beiden befinden, die der jüngst aufgetauchte Exploit zum Abschalten der Java-Sandbox ausnutzt.
Nach eigenen Angaben des Forschers hat er Oracle sogar das Abschalten der Sandbox mit einem Proof-of-Concept demonstriert. Gowdiak hat zuletzt am 23. August einen Statusbericht von dem Unternehmen bekommen, laut dem 19 der 25 noch ungepatchten Lücken bereits intern im Quellcode geschlossen wurden – einschließlich der beiden, die jetzt aktiv ausgenutzt werden. Planmäßig würden diese Änderungen frühestens am nächsten Critical Patch Update (CPU) am 16. Oktober in die downloadbare Java-Version übernommen.
Allerdings hat sich Oracle immer noch nicht öffentlich zu den aktuellen Entwicklungen geäußert und auch nicht auf unsere Anfang der Woche gestellte Presseanfrage reagiert. Wann es einen Patch geben wird, ist noch völlig unklar. Die verwundbare Java-Version 7 Update 6 wird weiterhin zum Download angeboten, einen Sicherheitshinweis gibt es nicht.
Wer Java installiert hat, sollte das Java-Plug-in im Browser unbedingt deaktivieren – zumindest bis Oracle einen Patch bereitstellt. Wie man Java deaktiviert, erfährt man auf der Java-Testseite des Browserchecks von heise Security. Dort kann man auch gleich überprüfen, ob das Abschalten die gewünschte Wirkung erzielt hat.
Inzwischen rät auch Microsoft dazu, das Java-Plug-in zu deaktivieren und hat eine Anleitung für den Internet Explorer veröffentlicht – die funktioniert allerdings nicht, wie heise Security bereits vor zwei Tagen dokumentierte. Offenbar musste auch Microsofts Chief Security Advisor Michael Kranawetter die Erfahrung machen, dass das Abschalten von Java im Internet Explorer nicht ganz trivial ist. Nachdem wir ihn auf das Problem hingewiesen haben, hat er seinen Blog-Eintrag ergänzt.
Da das Java-Plug-in in Verbindung mit dem Internet Explorer sehr hartnäckig ist, sollte man Java derzeit am besten komplett deinstallieren, wenn man regelmäßig mit dem IE surft – oder aber vorübergehend einen Browser nutzen, bei dem das Abschalten des hochgradig verwundbaren Komponente leichter von der Hand geht.
Update vom 30.08., 19:40: Oracle hat am heutigen Donnerstagabend ein Notfall-Update für Java herausgegeben. Ein erster Test von heise Security ergab, dass durch das Update der Exploit in seiner bisher bekannten Form blockiert wird. (rei)
