Wie zdnet.de dazu informierte hat Adam Gowdiak, Chef des polnischen Sicherheitsanbieters Security Explorations, dazu folgendes bekanntgegeben:
„Wir haben herausgefunden, dass sich der Oracle-Patch leicht umgehen lässt“
Die Umgehung besteht darin, dass lediglich vier Zeichen des ursprünglich im Oktober 2013 veröffentlichten Angriffscodes geändert werden müssten. Zudem müsse ein HTTP-Server dazu gebracht werden, auf eine erste Anfrage nach einer bestimmten Java-Klasse mit einer „404 (nicht gefunden)“-Fehlermeldung zu reagieren.
Security Explorations bietet dazu den aktualisierten Angriffscode an sowie eine detaillierte Beschreibung der Sicherheitslücke. Der Angriffscode wurde mit Java SE 7 Update 97, Java SE 8 Update 74 und auch dem Early Access Build 108 von Java SE 9 getestet. Gowdiak weist allerdings darauf hin, dass die Click2Play-Funktion, die vor der Ausführung von Java-Applets die Zustimmung eines Nutzers einholt, nicht beeinträchtigt ist.
Fehlerhafter Patch wurde nicht gemeldet
Anstatt das Unternehmen über den fehlerhaften Patch zu informieren, vertritt Gowdiak die Ansicht, dass „Defekte Fixes“ nicht zu tolerieren sind, er sagt dazu:
„Defekte Fixes werden nicht mehr toleriert. Wenn wir auf einen kaputten Fix für eine Anfälligkeit treffen, die wir bereits dem Hersteller gemeldet haben, wird sie ohne Vorankündigung öffentlich gemacht“
Zur Unternehmensauffassung, dass die Lücke mit der Kennung CVE-2013-5838 nur mithilfe von Java-Web-Start-Anwendungen und Java-Applets ausgenutzt werden könne, betont Gowdiak:
„Wir haben bestätigt, dass ein Exploit auch in einer Serverumgebung sowie mit der Google App Engine für Java möglich ist.“
Wie verlautet macht Security Explorations schon seit Anfang 2012 auf Sicherheitslücken in Java aufmerksam, die nur verzögert und unvollständig umgesetzt werden.
Weiterführende Links:
Lesen Sie dazu auch aus unserem Archiv zur „Problematik Java“
IBM Tipps zum Schutz vor Java Exploits
