Java-Sicherheitslücke: Interview mit Entdecker Adam Gowdiak

"Sun war seit dem 6. August informiert"

tecCHANNEL: Haben Sie Firmen vorab von Ihren Ergebnissen informiert?

Gowdiak: Ich habe Sun Microsystems am 6. August informiert. Danach wurde mein Report überprüft, entsprechende Sicherheits-Fixes wurden entwickelt und Lizenznehmer wie Nokia oder Siemens über die Schwachstellen informiert. Die angepasste Referenz-Implementation wurde ebenfalls an die Lizenznehmer weitergegeben.

tecCHANNEL: Wie war die Reaktion?

Gowdiak: Sun Microsystems reagierte sofort auf meinen Schwachstellenreport. Bereits zwei Wochen nach meinem ersten Kontakt war Sun in der Lage, die Fixes an Lizenznehmer weiterzugeben.

tecCHANNEL: Werden Sie auch den Code der bisher nicht offen gelegten "Blackbox" veröffentlichen?

Gowdiak: Ja, ich plane ein weiteres Forschungspapier, das alle Details und weiteres Material liefert, welches nicht in meinem Vortrag zur "Hack in the Box"-Sicherheitskonferenz zu finden ist. Dies dauert aber noch einige Monate.

tecCHANNEL: Dass die Schwachstelle sich ausgerechnet im sicherheitsrelevanten Teil befindet, ist eine Art von schwarzem Humor, oder?

Gowdiak: Es mag ironisch erscheinen, aber es ist nicht das erste Mal, dass ein ernstzunehmendes Sicherheitsproblem ausgerechnet in einer Sicherheits-Produkt/Mechanismus/Komponente gefunden wurde.