Zero-Day-Lücke in Java entdeckt

Am Dienstag, 14. Juli, will Oracle seine Quartals-Updates bereit stellen. Oracle nennt sie Critical Patch Updates (CPU) und stopft damit Sicherheitslücken in seinem gesamten Produktportfolio. Zu diesem gehört auch Java. In dessen aktueller Version Java 8 Update 45 haben Forscher des Sicherheitsunternehmens Trend Micro eine Schwachstelle entdeckt, die bereits ausgenutzt wird.

Laut Trend Micros Security Intelligence Blog ist das die erste Zero-Day-Lücke in Java seit zwei Jahren. Sie ist nicht durch den Einbruch bei Hacking Team bekannt geworden. Vielmehr haben die Malware-Forscher über längere Zeit eine Kampagne gezielter Angriffe untersucht, die sie "Operation Pawn Storm" nennen. Angriffsziele sind etwa im April NATO-Mitglieder und das Weiße Haus in Washington gewesen.

Potenzielle Opfer aus dem NATO- und US-Verteidigungsbereich werden mit Links in Mails auf präparierte Websites gelockt. Greift der Exploit für die Java-Schwachstelle, kann beliebiger Code eingeschleust und ausgeführt werden. Laut Trend Micro ist nur Java 8 anfällig, Java 6 und 7 sind nicht betroffen.

Oracles Ankündigung für den morgigen CPU-Tag nennt 25 zu stopfende Java-Lücken, von denen 23 ohne Benutzeranmeldung über ein Netzwerk ausgenutzt werden können. Der höchste CVSS-Score für eine oder mehrere dieser Schwachstellen ist 10.0, was auch der höchstmögliche Wert ist. Ob auch die von Tremd Micro entdeckte Lücke darunter ist, ist noch unklar.

Insgesamt will Oracle mit den Juli-Update 193 Sicherheitslücken schließen. Sie betreffen nahezu alle Unternehmensanwendungen aus dem Oracle-Katalog. Darunter sind neben Java auch MySQL (18 Lücken), VirtualBox (bis zu 11 Lücken) und der Oracle Database Server (10 Lücken) sowie etliche weitere Produkte. (PC Welt/mje)