Java: Kritische Sicherheitslücke in allen Versionen

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 36666
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Java: Kritische Sicherheitslücke in allen Versionen

Beitrag von doelf »

Der Sicherheitsexperte Adam Gowdiak hat schon wieder eine extrem kritische Sicherheitslücke in Java entdeckt. Die neue Schwachstelle ermöglicht es, die Sandbox komplett zu umgehen und findet sich in den Versionen 5, 6 und 7. Auch die neuesten Updates sind betroffen.

Der Sicherheitsexperte verwendete für seine Tests Windows 7 32-Bit mit allen aktuellen Updates in Verbindung mit diversen Internetbrowsern (Firefox 15.0.1, Google Chrome 21.0.1180.89, Internet Explorer 9.0.8112.16421, Opera 12.02 und Safari 5.1.7). Folgende Versionen der Java-Laufzeitumgebung konnten dabei erfolgreich angegriffen werden:
  • Java SE 7 Update 7 (Build 1.7.0_07-b10)
    Java SE 6 Update 35 (Build 1.6.0_35-b10)
    Java SE 5 Update 22 (Build 1.5.0_22-b03)
Adam Gowdiak hat den Fehler bereits dokumentiert und zusammen mit seinem Angriffs-Code an Oracle weitergeleitet. Dies bedeutet allerdings nicht, dass es auch ein zeitnahes Update geben wird.

Schon im April 2012 hatte Gowdiak mehrere kritische Sicherheitslücken bei Oracle gemeldet, welche die Softwarefirma erst vier Monate später schloss. Auch diese Fehler ermöglichten den Ausbruch aus der Sandbox. Leider setzte sich Oracle erst in Bewegung, als die Schwachstellen bereits aktiv angegriffen wurden. Unmittelbar nach der Freigabe des aktuellen Sicherheits-Updates entdeckte Gowdiak eine weitere Möglichkeit, die Sandbox zu verlassen. Dieser kritische Fehler wurde bis heute noch nicht behoben.

Quelle:
http://seclists.org/fulldisclosure/2012/Sep/170
Antworten