Forscher entdeckt kritische LĂĽcke in aktueller Java-Version
Adam Gowdiak musste erneut ein kritisches Sicherheitsproblem in Java an Oracle melden. Er hat der Schwachstelle die laufende Nummer 69 zugeteilt.
- Ronald Eikenberg
Das Team des polnischen Sicherheitsexperten Adam Gowdiak hat eine kritische Schwachstelle in der derzeit aktuellen Java-Version 7 Update 25 entdeckt, durch die Schadcode aus der Java-Sandbox ausbrechen kann. Laut Gowdiak klafft die LĂĽcke im Typensystem, es handelt sich offenbar um eine sogenannte Type Confusion Attack. Der Sicherheitsexperte hat dem Sicherheitsproblem die laufende Nummer 69 zugeteilt und Oracle informiert.
Darüber hinaus hat Gowdiak Details und einen Exploit zu einer von seinem Team entdeckten Java-Lücke veröffentlicht, die Oracle gerade erst im Juni veröffentlicht hat. Wer Java auf seinem Rechner installiert hat, sollte sich das einmal mehr zum Anlass nehmen, den Java-Versionsstand zu kontrollieren. Das Java-Plug-in für Browser steht bei Online-Kriminellen traditionell als Verbreitungsweg für Malware hoch im Kurs. Das liegt vor allem auch daran, weil man Java nur mühsam auf dem aktuellen Stand halten kann.
Man kann sich vor Angriffen auf das Java-Plug-in schĂĽtzen, indem man im Java Control Panel, das sich unter Windows in der Systemsteuerung befindet, auf dem Registerreiter "Sicherheit" die Option "Java-Content im Browser aktivieren" abschaltet. Als Kompromiss kann man zumindest die Java-Einbindung im Browser deaktivieren beziehungsweise das von Chrome, Firefox und Opera angebotene Click-to-Play einsetzen. Dadurch muss man der AusfĂĽhrung von Plug-ins explizit zustimmen. (rei)