Java-Sandbox auch in aktueller Version angreifbar
Einem Forscher ist es gelungen, die schĂĽtzende Sandbox durch SicherheitslĂĽcken auch in der gerade erst erschienenen Java-Version 7 Update 7 auszuschalten.
- Ronald Eikenberg
Das am Donnerstag vergangener Woche veröffentlichte Java 7 Update 7 stoppt zwar alle öffentlich bekannten Exploits, ist laut dem polnischen Sicherheitsforscher Adam Gowdiak jedoch weiterhin verwundbar. Auf der Sicherheits-Mailingliste Bugtraq berichtet Gowdiak, dass er in der aktuellen Java-Version eine Sicherheitslücke gefunden hat, die sich in Kombination mit bereits zuvor von ihm entdeckten Lücken wieder zum Abschalten der Sandbox eignet. Ein Angreifer könnte dies Ausnutzen, um Besucher einer speziell präparierten Webseite mit Schadcode zu infizieren.
Einen Proof-of-Concept-Exploit hat er nach eigenen Angaben an den Java-Hersteller Oracle geschickt. Gowdiak hat bereits im April 29 Java-Lücken entdeckt und an das Unternehmen gemeldet; darunter auch die Schwachstellen, die der öffentlich bekannte Exploit für Java 7 Update 6 ausnutzt. Oracle hat seitdem einige der von Gowdiak gemeldeten Lücken geschlossen, das Gros scheint jedoch noch ungepatcht zu sein. Wann die verbleibenden Schwachstellen geschlossen werden, darüber machte das Unternehmen bislang keine Angaben.
Der Forscher hat seine Funde stets vertraulich an Oracle gemeldet. Angespornt von dem Wissen über die Existenz der Lücken dürften sich nun auch andere auf die Jagd begeben. Bleibt nur zu hoffen, dass Oracle dieses Mal einen Patch bereitstellt, bevor die Schwachstellen aktiv für Angriffe ausgenutzt werden. Das nächste planmäßige Java-Update steht am 16. Oktober 2012 an. (rei)