Warnung vor kritischer Java-Lücke

[Christoph]

Ich hab´s getestet, mit 1.6.0_33,, es kam nur die Meldung, daß die Version veraltet ist und die neue geladen werden soll.

[TheltAlpha]

Hallo!

Ich habe gerade gesehen, dass das Update 9 von Java bereits verfügbar ist. Weiß man schon, ob alle bekannten Sicherheitslöcher damit gestopft sind? Es gab ja da

1. eine Lücke, die durch das Update 7 geöffnet wurde, siehe http://www.wcm.at/forum/showpost.php...91&postcount=5, sowie

2. weitere entdeckte Lücken, siehe http://www.wcm.at/forum/showthread.p...ke-245137.html.

[TheltAlpha]

Ich bin fündig geworden: http://www.heise.de/security/meldung...e-1730692.html

Zitat:

Gegenüber heise Security merkte Gowdiak an, dass ein kritisches Sicherheitsloch, das einen Ausbruch aus der Java-Sandbox erlaubt, allerdings weiterhin in Java klafft. Oracle erklärte Gowdiak seinen Angaben zufolge, dass das Unternehmen bereits in der finalen Testphase der Oktober-Patches war, als er die Schwachstelle meldete. Diese und eine weitere, weniger schwerwiegende Lücke sollen daher erst zum nächsten planmäßigen Java-Patchday am 19. Februar 2013 geschlossen werden.

Ich verstehe nicht, wie man in solchen Fällen so unflexibel sein kann.

[Christoph]

Zitat:

Sicherheitsforscher patcht Java im Selbstversuch

Weil Oracle sich bis Februar nächsten Jahres Zeit lassen will, griff ein Sicherheitsforscher jetzt zur Selbsthilfe: Adam Gowdiak hat einen Patch für eine kritische Sicherheitslücke in Java entwickelt, die er selbst entdeckt hatte. Davon berichtet er auf der Sicherheits-Mailingliste Full Disclosure. Zur Veröffentlichung ist der Patch jedoch nicht gedacht; dadurch würde der Forscher auch die bislang unter Verschluss gehaltenen Details zur Lücke verraten. Mit seinem Experiment will Gowdiak den Java-Hersteller Oracle animieren, die Herausgabe eines offiziellen Patches zu beschleunigen.

Gowdiak hatte Oracle Ende September über die kritische Lücke informiert, durch die ein Angreifer mit Hilfe eines speziell präparierten Applets mit Anwenderrechten auf dem System wüten kann. Damit war er gerade zu spät dran für den Oktober-Patchday (Critical Patch Update, CPU). Oracle erklärte Gowdiak, dass sich das Unternehmen zu diesem Zeitpunkt bereits in der finalen Testphase der Oktober-Patches befunden habe – und vertröstete ihn auf den nächsten planmäßigen CPU-Termin am 19. Februar 2013.

Daraufhin entwickelte der Sicherheitsforscher selbst einen Patch, um den Aufwand besser abschätzen zu können. Das Ergebnis: Um die Schwachstelle zu schließen, musste er nach eigenen Angaben nur 25 Zeichen im Java-Quellcode ändern. Der Zeitaufwand soll gerade mal 30 Minuten betragen. Laut Gowdiak hat der Patch keinen nennenswerten Einfluss auf die Programmlogik von Java, weshalb man sich die aufwendigen Integrationstests, bei denen die Auswirkungen der Änderungen auf das Zusammenspiel von Java mit anderen Programmen untersucht werden, sparen könne.

Vermutlich sieht Oracle auch deshalb keinen Grund zur Eile, weil die Details über die Lücke bislang nicht öffentlich bekannt sind. Das weckt Erinnerungen an eine vergleichbare Schwachstelle, die im August von Cyber-Kriminellen ausgenutzt wurde – Monate nachdem sie bereits von Gowdiak entdeckt und an Oracle gemeldet worden war. (rei)

Quelle: http://www.heise.de/newsticker/meldu...h-1735009.html