Nach Java-7-Patch gleich neue Sicherheitslücke gefunden

Ein Kommentar Autor: Jürgen (jdo)

Java Logo 150x150Das muss ja ein Schlag ins Gesicht sein. Über die kürzlich gefundene Java-Lücke (0-Day, die auch schön ausgenutzt wurde) will ich mich gar nicht auslassen, das wurde überall breit getreten und Oracle hat bereits einen Patch zur Verfügung gestellt (Java 7 Update 7).

Laut pcworld.com hat die in Polen ansässige Sicherheitsfirma Security Explorations nun angeblich eine neue Schwachstelle gefunden. Den Sicherheits-Experten zufolge lässt sich die neue Lücke ausnutzen, aus der Java-Sandbox auszubrechen. Danach kann ein Angreifer beliebigen Code auf dem darunterliegenden System ausführen.

Am gestrigen Freitag hat Security Explorations anscheinend einen Bericht an Oracle mit einem Machbarkeitshinweis (Proof-of-Concept) geschickt. Technische Details zu der Lücke will man angeblich nicht zur Verfügung stellen.

Da muss Oracle wohl binnen weniger Tage gleich 2x aus dem 4-monatigem Patch-Zyklus ausbrechen – auf zum Patch Cave! Ich muss wohl nicht hinzufügen, dass Java plattformunabhängig Sicherheitslücken reisst …

Auch Interessant?

  1. Java: Neuer 0-Day-Exploit – für 5000 US-Dollar verkauft
  2. Auch Linux-Version anfällig: Hacker nutzen 0-Day-Schwachstelle in Adobe Reader aus
  3. Oracle Critical Patch für 2013 schließt Sicherheitslücken in MySQL und VirtualBox, Java-Flicken schon da
  4. Chrome-Bug: Google zahlt LEET-Geld :)
  5. Kein Oracle Java mehr auf Ubuntu – wird für 10.04 LTS, 10.10 und 11.04 deaktiviert

 Alle Kommentare als Feed abonnieren

Ein Kommentar zu “Nach Java-7-Patch gleich neue Sicherheitslücke gefunden”

  1. axt says:
    1. September 2012 at 11:04

    openjdk-7-jre hat, wenn ich das richtig sehe, den gleichen (ersten) Bug, der sich über icedtea auch ausnutzen ließe. Nun sollte man annehmen, das wäre, da OSS, binnen kürzester Zeit gefixt...

    Reply

Antworten