Alte JAVA-Lücke schlecht gepatcht

Oracle hat die Sicherheitslücke CVE-2013-5838 in Java zwar bereits vor zwei Jahren per Java SE 7 Update 40 gepatcht. Nach dem Sicherheitsforscher Adam Gowdiak (polnische Sicherheitsfirma Security Explorations), ist der Patch aber fehlerhaft.


Anzeige

Gowdiak gibt in diesem Beitrag in einer Sicherheits-Mailing-List an, dass dieser Oracle-Fix in Java 7/8/9 mit einem trivialen Angriff ausgehebelt werden kann. Er schreibt, dass er keine “kaputten Fixes” für Java mehr toleriere und Sicherheitslücken sofort öffentlich machen werde. Ein Proof of Concenpt wurde von ihm veröffentlicht. Die technischen Details lassen sich in diesem PDF-Dokument nachlesen.

Eine deutschsprachige Diskussion der Thematik mit weiteren Erläuterungen finden sich z.B. bei heise.de sowie hier. Wer JAVA verwenden muss, sollte dieses zumindest im Browser deaktivieren. Wie das geht, habe ich 2013 im Artikel Java im Browser deaktivieren beschrieben.


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.