Forscher entdeckt kritische Lücke in aktueller Java-Version

Das Team des polnischen Sicherheitsexperten Adam Gowdiak hat eine kritische Schwachstelle in der derzeit aktuellen Java-Version 7 Update 25 entdeckt, durch die Schadcode aus der Java-Sandbox ausbrechen kann. Laut Gowdiak klafft die Lücke im Typensystem, es handelt sich offenbar um eine sogenannte Type Confusion Attack. Der Sicherheitsexperte hat dem Sicherheitsproblem die laufende Nummer 69 zugeteilt und Oracle informiert.

Darüber hinaus hat Gowdiak Details und einen Exploit zu einer von seinem Team entdeckten Java-Lücke veröffentlicht, die Oracle gerade erst im Juni veröffentlicht hat. Wer Java auf seinem Rechner installiert hat, sollte sich das einmal mehr zum Anlass nehmen, den Java-Versionsstand zu kontrollieren. Das Java-Plug-in für Browser steht bei Online-Kriminellen traditionell als Verbreitungsweg für Malware hoch im Kurs. Das liegt vor allem auch daran, weil man Java nur mühsam auf dem aktuellen Stand halten kann.

Man kann sich vor Angriffen auf das Java-Plug-in schützen, indem man im Java Control Panel, das sich unter Windows in der Systemsteuerung befindet, auf dem Registerreiter "Sicherheit" die Option "Java-Content im Browser aktivieren" abschaltet. Als Kompromiss kann man zumindest die Java-Einbindung im Browser deaktivieren beziehungsweise das von Chrome, Firefox und Opera angebotene Click-to-Play einsetzen. Dadurch muss man der Ausführung von Plug-ins explizit zustimmen. (rei)