Oracles steter Mahner in Sachen Security, der polnische Sicherheitsforscher Adam Gowdiak, hat nach eigenen Aussagen dem Java-Hersteller
Die Lücke findet sich einmal mehr im
Interessant ist, dass laut Gowdiak auch das
heise-security.de
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
gemeldet – Nummer 61 nach seiner Zählung. Betroffen ist die aktuelle Java Standard Edition 7, einschließlich der soeben erst veröffentlichten Version.Die Lücke findet sich einmal mehr im
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
; über sie kann ein Angreifer die Sandbox umgehen und dann direkt auf das zu Grunde liegende System zugreifen. Wie, das erzählt Gowdiak natürlich noch nicht. Damit der Angriff erfolgreich ist, muss der Anwender aber zunächst die
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
wegklicken, dass ein Java-Applet ausgeführt wird. Ganz automatische Drive-By-Infektionen nur durch den Besuch einer Webseite sind damit zunächst nicht möglich. Insgesamt stehen damit noch drei Gowdiak-Probleme auf Oracles Todo-Liste für Java (Nummer 54, 56 und 61).Interessant ist, dass laut Gowdiak auch das
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
anfällig sein soll. Die offensichtliche Frage, wie denn der Angriffs-Code in die VM des Servers geraten soll, beantwortet Gowdiak lediglich mit einem sehr vagen Verweis auf Software und APIs, die das Einschleusen von Java Code erlauben.heise-security.de