Oracles steter Mahner in Sachen Security, der polnische Sicherheitsforscher Adam Gowdiak, hat nach eigenen Aussagen dem Java-Hersteller eine neue Schwachstellegemeldet – Nummer 61 nach seiner Zählung. Betroffen ist die aktuelle Java Standard Edition 7, einschließlich der soeben erst veröffentlichten Version.
Die Lücke findet sich einmal mehr im Reflection API; über sie kann ein Angreifer die Sandbox umgehen und dann direkt auf das zu Grunde liegende System zugreifen. Wie, das erzählt Gowdiak natürlich noch nicht. Damit der Angriff erfolgreich ist, muss der Anwender aber zunächst die jetzt obligatorische Sicherheitswarnung wegklicken, dass ein Java-Applet ausgeführt wird. Ganz automatische Drive-By-Infektionen nur durch den Besuch einer Webseite sind damit zunächst nicht möglich. Insgesamt stehen damit noch drei Gowdiak-Probleme auf Oracles Todo-Liste für Java (Nummer 54, 56 und 61).
Interessant ist, dass laut Gowdiak auch das Server JRE anfällig sein soll. Die offensichtliche Frage, wie denn der Angriffs-Code in die VM des Servers geraten soll, beantwortet Gowdiak lediglich mit einem sehr vagen Verweis auf Software und APIs, die das Einschleusen von Java Code erlauben.
heise-security.de
Die Lücke findet sich einmal mehr im Reflection API; über sie kann ein Angreifer die Sandbox umgehen und dann direkt auf das zu Grunde liegende System zugreifen. Wie, das erzählt Gowdiak natürlich noch nicht. Damit der Angriff erfolgreich ist, muss der Anwender aber zunächst die jetzt obligatorische Sicherheitswarnung wegklicken, dass ein Java-Applet ausgeführt wird. Ganz automatische Drive-By-Infektionen nur durch den Besuch einer Webseite sind damit zunächst nicht möglich. Insgesamt stehen damit noch drei Gowdiak-Probleme auf Oracles Todo-Liste für Java (Nummer 54, 56 und 61).
Interessant ist, dass laut Gowdiak auch das Server JRE anfällig sein soll. Die offensichtliche Frage, wie denn der Angriffs-Code in die VM des Servers geraten soll, beantwortet Gowdiak lediglich mit einem sehr vagen Verweis auf Software und APIs, die das Einschleusen von Java Code erlauben.
heise-security.de