Suchen

Sandbox der Java Virtual Machine lässt sich austricksen Sicherheitslücke in Java SE 5, 6 und 7

| Redakteur: Stephan Augsten

Sicherheitsforscher des Beratungsunternehmens Security Exploitations haben eine kritische Schwachstelle in Java entdeckt. Durch die Anfälligkeit ist es möglich, die Sandbox-Sicherheitsmechanismen der Java Virtual Machine zu umgehen.

Firma zum Thema

Leck geschlagen: In der Java Virtual Machine wurde ein Sicherheitslücke entdeckt.
Leck geschlagen: In der Java Virtual Machine wurde ein Sicherheitslücke entdeckt.

Details zu der Sandbox-Anfälligkeit in Java SE wurden bereits in der Full Disclosure Mailing List auf Seclists.org veröffentlicht. Demnach findet sich die Schwachstelle in den Java-Versionen 5, 6 und 7. Verifiziert wurde die Lücke mit den jüngsten Versionen der Browser Chrome, Firefox, Internet Explorer, Opera und Safari

Der Bug ermöglicht es, die Sandbox der Java Virtual Machine – also eine essentielle Sicherheitsfunktion zum Ausführen wenig vertrauenswürdiger Code-Sequenzen – komplett zu umgehen. Ein Angreifer könnte demnach bösartigen Code auf einer anfälligen Maschine ausführen und zumindest teilweise die Kontrolle über das System übernehmen.

Als Testsystem diente ein komplett aktualisierter Rechner mit der 32-Bit-Version von Windows 7. Adam Gowdiak, Gründer und CEO der Sicherheitsberatungsfirma Security Exploitations, hält aber alle gängigen Betriebssysteme, also auch Linux, Solaris und Mac OS X für verwundbar – sofern Java SE zur Software-Ausstattung gehört.

Geschätzt betreffen die anfälligen Java-Installationen etwa eine Milliarde Rechner-Systeme. Eine grundlegende Absicherung gegen die Schwachstelle verspricht letztlich nur die Maßnahme, die installierten Browser-Plug-ins von Java zu deaktivieren.

Noch ist nicht klar, wie schnell Oracle einen Patch ausliefern kann. Im Seclists-Eintrag schreibt Gowdiak, dass detaillierte Informationen über den sicherheitskritischen Bug bereits an den Software-Hersteller weitergegeben wurden.

(ID:35824250)