Der polnische Sicherheitsexperte Adam Gowdiak hat gemeinsam mit seinem Team vor kurzem eine weitere Sicherheitslücke in den aktuellen Versionen von Oracle Java SE entdeckt. Laut der Mailingliste
Full Disclosure gelang es ihnen, die Sandbox der Java Versionen 5, 6 und 7 zu umgehen. Die Sicherheitslücke erlaubt Angreifern, über ein Java-Applet im Browser Schadcode mit den Rechten des angemeldeten Nutzers einzuschleusen.
Nach Aussage von Gowdiak, ist die neu entdeckte Sicherheitslücke etwas Besonders. Zum einen ist es inzwischen die fünfzigste Sicherheitslücke, die er und sein Team entdeckt haben. Zum anderen wird darüber eine "grundlegende Sicherheitsbeschränkung der Java Virtual Machine ausgehebelt".
Von der Sicherheitslücke sind Java SE 5 Update 22, Java SE 6 Update 35 und Java SE 7 Update 7 betroffen. Alle Tests wurden mit einem vollständig gepatchten Windows 7 32-Bit-Systems und folgenden Web-Browser durchgeführt:
Gowdiak hat Java-Hersteller Oracle über die Sicherheitslücke informiert und zur Demonstration ein Proof-of-Concept weitergeleitet. Ob die Lücke bereits aktiv ausgenutzt wird, ist nicht bekannt. Oracle hat diesmal sehr schnell reagiert und noch am selben Tage geantwortet. Das lässt hoffen, dass die Sicherheitslücke schnell beseitigt wird.