Ausführen unautorisierter Programme möglich

Fehler in Java könnte sich für Angriffe nutzen lassen

Googles Tavis Ormandy hat einen Fehler in Java gefunden, der sich unter Umständen für Angriffe auf Computer ausnutzen lässt.

Der Angriffscode wurde am Freitag den 09. April 2010 veröffentlicht. Ormandy sagte, dass er die Lücke bereits an Oracles Sun-Team gemeldet hat. Er wurde informiert, dass man dort die Schwachstelle als nicht wichtig genug einstuft, um einen Patch außerhalb des dreimonatlichen Update-Zyklus bereitzustellen. Ormandy sieht das laut networkworld.com allerdings anders. Oracle wollte keinen weiteren Kommentar abgeben. Vor kurzer Zeit gab es erst ein großes Update für Java und das nächste Flicke-Set ist für Juli geplant.

Die Schwachstelle lässt sich ausnutzen, um nicht autorisierte Java-Programme auf dem Rechner eines Opfers laufen zu lassen. Grund ist, dass Entwickler der Java VM sagen können, eine alternative Bibliothek zu installieren. Wenn ein Entwickler eine schädliche Bibliothek kreiert und die JVM anweist, diese zu installieren, könnte ein bösartiger Hacker sein schädliches Programm laufen lassen. Andere Sicherheitsexperten meinen auch, dass Oracle den Fehler so schnell wie möglich schließen sollte. Der Bug ist deswegen so übel, weil es sich weniger um einen Programmier-, sondern mehr um einen Design-Fehler handelt, sagte Marc Maiffret von FireEye. Betroffen sind alle Versionen seit Java SE 6 Update 10 für Windows. Linux-Anwender könnten ebenfalls betroffen sein. (jdo)