Oracle kündigt Patch für 0-Day-Lücke in Java an

Für die Zero-Day-Lücke in seiner Java-Implementierung will Oracle bald einen Patch bereitstellen. Ursache für den jetzigen Fehler soll das fehlerhafte Beheben einer Lücke im vergangenen Jahr sein.

In Pocket speichern vorlesen Druckansicht 154 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Christian Kirsch

Wie verschiedene US-Medien berichten, hat Oracle angekündigt, kurzfristig einen Patch für die vor wenigen Tagen entdeckte Zero-Day-Lücke in Java bereitzustellen. Der Fehler hatte unter anderem das deutsche BSI und das US-Heimatschutzministerium zu Warnungen veranlasst. Mozilla und Apple deaktivierten das Java-Plug-in in ihren Browsern. Betroffen ist nur die aktuelle Version 7 von Java.

Unterdessen hat der polnische Sicherheitsexperte Adam Gowdiak Oracle auf der Bugtraq-Mailingliste vorgeworfen, Sicherheitsprobleme nicht gründlich genug zu untersuchen. Die jetzige Zero-Day-Lücke ermöglicht Anwendungen den Zugriff auf privilegierte Klassen unter Umgehung des Java-Security-Managers. Dabei werde ein Verfahren verwendet, so Gowdiak, über das sein Unternehmen Security Explorations Oracle bereits im August 2012 informiert habe. Der Patch vom Oktober habe jedoch nur einen Teil des Bugs mit dem Kürzel "Issue 32" beseitigt.

Denn die von ihm "Issue 50" getaufte (PDF-Dokument) Lücke wollte Oracle erst im Februar 2013 mit dem nächsten regulären Java-Patchday schließen. Im Zusammenspiel mit "Issue 32" und dem unvollständigen Patch habe sich die Zero-Day-Lücke geöffnet. Gowdiak will bereits eine Oktober 2012 eine Korrektur für Issue 50 an Oracle geschickt haben, die lediglich 25 Zeichen groß war.

Auch bei anderen bekannten Lücken in seiner Software hat es Oracle nicht übermäßig eilig. So will sie den Fehler im TNS-Listener, der das Kapern von Datenbankverbindungen ermöglicht, erst mit der Version 12 ihrer Datenbank beheben. Ein Erscheinungstermin dafür ist noch nicht bekannt. (ck)