VG-Wort Pixel

Java Sicherheitslücke betrifft eine Milliarde Nutzer


Ein Sicherheitsforscher hat eine kritische Lücke in der Software Java entdeckt. Betroffen sind nahezu alle Betriebssysteme und Browser - und mehr als eine Milliarde Nutzer.

Adam Gowdiak ist ein renommierter Sicherheitsforscher, der bereits viele Software-Schwachstellen entdeckt hat. Doch sein jüngster Fund ist einer der spektakulärsten: Ein Leck in der Software Java ermöglicht es Fremden, aus der eigentlich sicheren "Sandbox" - eine Art isolierter Bereich, der Angriffe auf den PC eigentlich ins Leere laufen lässt - auszubrechen und mit den Rechten des angemeldeten Nutzers Programme zu installieren oder sogar zu löschen. Betroffen sind alle Java-Versionen der letzten acht Jahre, einschließlich der neuesten Version 7 (mit Update 7).

Mehr als 850 Millionen PCs betroffen

Java ist eine Programmiersprache und Basis-Technologie für viele Programme, Webseiten, Spiele und Anwendungen. Mehr als 850 Millionen PCs haben Java installiert, auch immer mehr Mobiltelefone und TV-Geräte nutzen die Software. Insgesamt sei Java auf mehr als einer Milliarde Geräten zu finden, schätzt Gowdiak.

Brisant sei die aktuell entdeckte Lücke, weil nicht einmal ein auf dem neuesten Stand gehaltener Computer mit Windows 7 vor Angriffen geschützt sei. "Wir waren in der Lage, den Fehler erfolgreich auszunutzen und die Sicherheits-Sandbox von Java vollständig zu umgehen", schreibt der Experte in seiner Mitteilung auf der Seite "seclists.org".

Betroffen sind laut Gowdiak sowohl die Browser Internet Explorer, Firefox, Chrome, Opera und Safari sowie die Betriebssysteme Windows, Mac OS X, Linux und Solaris.

Bislang keine Angriffe festgestellt

Der Java-Entwickler Oracle hat die Schwachstelle mittlerweile bestätigt, sagt Gowdiak im Gespräch mit der britischen Technikseite "Techweekeurope". "Es ist das erste Mal, dass uns das Unternehmen noch an dem Tag, an dem wir den Fehler meldeten, eine Bestätigung übermittelt hat." Das sei ein gutes Zeichen, dass der Fehler schnell behoben werden dürfte, erklärt er in dem Interview.

Angriffe, die auf die Schwachstelle zurückzuführen sind, gab es bislang aber offenbar noch nicht. Das nächste geplante Java-Update erscheint am 16. Oktober. Bislang hat sich Oracle noch nicht zu der Sicherheitslücke geäußert.

Wie Sie Java deaktivieren, erklären wir hier.

cf

Mehr zum Thema


Wissenscommunity


Newsticker