Sandbox der Java Virtual Machine lässt sich austricksen

Sicherheitslücke in Java SE 5, 6 und 7

| Redakteur: Stephan Augsten

Leck geschlagen: In der Java Virtual Machine wurde ein Sicherheitslücke entdeckt.
Leck geschlagen: In der Java Virtual Machine wurde ein Sicherheitslücke entdeckt.

Sicherheitsforscher des Beratungsunternehmens Security Exploitations haben eine kritische Schwachstelle in Java entdeckt. Durch die Anfälligkeit ist es möglich, die Sandbox-Sicherheitsmechanismen der Java Virtual Machine zu umgehen.

Details zu der Sandbox-Anfälligkeit in Java SE wurden bereits in der Full Disclosure Mailing List auf Seclists.org veröffentlicht. Demnach findet sich die Schwachstelle in den Java-Versionen 5, 6 und 7. Verifiziert wurde die Lücke mit den jüngsten Versionen der Browser Chrome, Firefox, Internet Explorer, Opera und Safari

Der Bug ermöglicht es, die Sandbox der Java Virtual Machine – also eine essentielle Sicherheitsfunktion zum Ausführen wenig vertrauenswürdiger Code-Sequenzen – komplett zu umgehen. Ein Angreifer könnte demnach bösartigen Code auf einer anfälligen Maschine ausführen und zumindest teilweise die Kontrolle über das System übernehmen.

Als Testsystem diente ein komplett aktualisierter Rechner mit der 32-Bit-Version von Windows 7. Adam Gowdiak, Gründer und CEO der Sicherheitsberatungsfirma Security Exploitations, hält aber alle gängigen Betriebssysteme, also auch Linux, Solaris und Mac OS X für verwundbar – sofern Java SE zur Software-Ausstattung gehört.

Geschätzt betreffen die anfälligen Java-Installationen etwa eine Milliarde Rechner-Systeme. Eine grundlegende Absicherung gegen die Schwachstelle verspricht letztlich nur die Maßnahme, die installierten Browser-Plug-ins von Java zu deaktivieren.

Noch ist nicht klar, wie schnell Oracle einen Patch ausliefern kann. Im Seclists-Eintrag schreibt Gowdiak, dass detaillierte Informationen über den sicherheitskritischen Bug bereits an den Software-Hersteller weitergegeben wurden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 35824250 / Mobile- und Web-Apps)