Sicherheitsforscher patcht Java im Selbstversuch

Der Sicherheitsexperte Adam Gowdiak hat innerhalb von 30 Minuten einen Patch für eine kritische Java-Lücke entwickelt, für deren Behebung sich Oracle noch bis zum Februar Zeit lassen will.

In Pocket speichern vorlesen Druckansicht 167 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Weil Oracle sich bis Februar nächsten Jahres Zeit lassen will, griff ein Sicherheitsforscher jetzt zur Selbsthilfe: Adam Gowdiak hat einen Patch für eine kritische Sicherheitslücke in Java entwickelt, die er selbst entdeckt hatte. Davon berichtet er auf der Sicherheits-Mailingliste Full Disclosure. Zur Veröffentlichung ist der Patch jedoch nicht gedacht; dadurch würde der Forscher auch die bislang unter Verschluss gehaltenen Details zur Lücke verraten. Mit seinem Experiment will Gowdiak den Java-Hersteller Oracle animieren, die Herausgabe eines offiziellen Patches zu beschleunigen.

Gowdiak hatte Oracle Ende September über die kritische Lücke informiert, durch die ein Angreifer mit Hilfe eines speziell präparierten Applets mit Anwenderrechten auf dem System wüten kann. Damit war er gerade zu spät dran für den Oktober-Patchday (Critical Patch Update, CPU). Oracle erklärte Gowdiak, dass sich das Unternehmen zu diesem Zeitpunkt bereits in der finalen Testphase der Oktober-Patches befunden habe – und vertröstete ihn auf den nächsten planmäßigen CPU-Termin am 19. Februar 2013.

Daraufhin entwickelte der Sicherheitsforscher selbst einen Patch, um den Aufwand besser abschätzen zu können. Das Ergebnis: Um die Schwachstelle zu schließen, musste er nach eigenen Angaben nur 25 Zeichen im Java-Quellcode ändern. Der Zeitaufwand soll gerade mal 30 Minuten betragen. Laut Gowdiak hat der Patch keinen nennenswerten Einfluss auf die Programmlogik von Java, weshalb man sich die aufwendigen Integrationstests, bei denen die Auswirkungen der Änderungen auf das Zusammenspiel von Java mit anderen Programmen untersucht werden, sparen könne.

Vermutlich sieht Oracle auch deshalb keinen Grund zur Eile, weil die Details über die Lücke bislang nicht öffentlich bekannt sind. Das weckt Erinnerungen an eine vergleichbare Schwachstelle, die im August von Cyber-Kriminellen ausgenutzt wurde – Monate nachdem sie bereits von Gowdiak entdeckt und an Oracle gemeldet worden war. (rei)