Sicherheit
Neue Java-Lücke bleibt offen
von
Dorothee
Chlumsky - 14.04.2010
Java hat in einer seiner Komponenten, die viele Browser nutzen, eine kritische Sicherheitslücke. Die Java-Entwickler bei Sun halten die Schwachstelle für nicht wichtig genug, sie außerhalb des üblichen Patch-Zyklus zu schließen. Fürs erste bleiben die PCs der Surfer daher anfällig.
Der Sicherheitsexperte Tavis Ormandy ist auf eine schwere Sicherheitslücke in Java gestoßen. Seit Java Version 6 Update 10 findet sich im Java-Paket eine Komponente namens Java Deployment Toolkit (JDT). Sie dient dazu, dass Surfer schnell feststellen können, welche Java-Version sie installiert haben und startet bei Bedarf einen Update-Befehl. Die Komponente hat jedoch eine Schwachstelle, die es Angreifern gestattet, schädlichen Code auf einem Rechner einzuschleusen und auszuführen. In seinem Blog-Eintrag, der die Schwachstelle beschreibt, verlinkt Ormandy auf eine harmlose Variante des Exploits, die nur den Rechner öffnet. Anstelle des Systemrechners könnte allerdings auch anderer, schädlicher Code ausgeführt werden.
Der Experte hat Sun auf die Sicherheitslücke aufmerksam gemacht, aber den Hinweis erhalten, man halte die Lücke nicht für schwerwiegend genug um sie außerhalb des vierteljährlichen Patch-Zyklus zu bearbeiten.
Die einzige Abhilfe ist im Moment, nur vertrauenswürdige Webseiten zu besuchen.
