Nach Java-7-Patch gleich neue Sicherheitslücke gefunden

Ein Kommentar Autor: Jürgen (jdo)

Java Logo 150x150Das muss ja ein Schlag ins Gesicht sein. Über die kürzlich gefundene Java-Lücke (0-Day, die auch schön ausgenutzt wurde) will ich mich gar nicht auslassen, das wurde überall breit getreten und Oracle hat bereits einen Patch zur Verfügung gestellt (Java 7 Update 7).

Laut pcworld.com hat die in Polen ansässige Sicherheitsfirma Security Explorations nun angeblich eine neue Schwachstelle gefunden. Den Sicherheits-Experten zufolge lässt sich die neue Lücke ausnutzen, aus der Java-Sandbox auszubrechen. Danach kann ein Angreifer beliebigen Code auf dem darunterliegenden System ausführen.

Am gestrigen Freitag hat Security Explorations anscheinend einen Bericht an Oracle mit einem Machbarkeitshinweis (Proof-of-Concept) geschickt. Technische Details zu der Lücke will man angeblich nicht zur Verfügung stellen.

Da muss Oracle wohl binnen weniger Tage gleich 2x aus dem 4-monatigem Patch-Zyklus ausbrechen – auf zum Patch Cave! Ich muss wohl nicht hinzufügen, dass Java plattformunabhängig Sicherheitslücken reisst …




 Alle Kommentare als Feed abonnieren

Ein Kommentar zu “Nach Java-7-Patch gleich neue Sicherheitslücke gefunden”

  1. axt says:

    openjdk-7-jre hat, wenn ich das richtig sehe, den gleichen (ersten) Bug, der sich über icedtea auch ausnutzen ließe. Nun sollte man annehmen, das wäre, da OSS, binnen kürzester Zeit gefixt...