Der Chef des polnischen Sicherheitsunternehmens Security Explorations, Adam Gowdiak, hat gestern Details zu einer Zero-Day-Lücke in Java SE veröffentlicht.
Dabei handelt es sich interessanterweise um eine Schwachstelle, die Oracle „eigentlich“ schon vor mehr als zweio Jahren im September 2013 geschlossen hatte.
Leider soll der seinerzeitige Patch von Oracle allerdings unwirksam sein. Als Folge davon kann man auf Java-SE-Systemen offenbar Code außerhalb der Java-Sandbox ausführen.
„Wir haben herausgefunden, dass sich der Oracle-Patch leicht umgehen lässt“, schreibt Adam Gowdiak in einem Beitrag auf Full Disclosure. Dazu brauchten nur vier Zeichen des schon im Oktober 2013 veröffentlichten Angriffscodes geändert werden.
Außerdem müsse noch ein HTTP-Server dazu gebracht werden, auf eine erste Anfrage nach einer bestimmten Java-Klasse mit einer Fehlermeldung Typ 404 (nicht gefunden) zu reagieren.
Den aktualisierten Angriffscode dazu bietet Security Explorations genauso zum Download an wie eine detaillierte Beschreibung dieser Sicherheitslücke als PDF-Dokument.
Getestet wurde das Ganze mit Java SE 7 Update 97, Java SE 8 Update 74 und auch mit dem Early Access Build 108 von Java SE 9.
Der Sicherheitsforscher Gowdiak weist noch besonders darauf hin, dass die Click2Play-Funktion, die vor der Ausführung von Java-Applets die Zustimmung eines Nutzers einholt, davon nicht beeinträchtigt ist.