Der Umgang des Softwareherstellers Oracle mit Sicherheitsproblemen in Java ist in den letzten Tagen unter massive Kritik gekommen: Obwohl man von einem kritischen Problem in der Software bereits seit Monaten informiert war, sah man bis zuletzt keine Notwendigkeit ein entsprechendes Update auszuliefern.

Nachgebessert

Erst nach Bekanntwerden der Lücke - und einsetzender, öffentlicher Kritik - besann sich der Softwarehersteller zu einer Positionsänderung: Statt wie ursprünglich geplant erst im Oktober 2012 gab es nun in Form von Java 7 Update 7 vor wenigen Tagen eine neue Sicherheitsaktualisierung.

Gepatzt

Doch wer glaubt, dass diese Affäre damit erledigt ist, sieht sich nun allerdings eines besseren belehrt: Oracle scheint beim aktuellen Update nämlich ganz ordentlich gepatzt zu haben. Zwar wird die ursprüngliche Lücke tatsächlich damit behoben, offenbar dabei aber eine nicht minder kritische, neue Sicherheitslücke eröffnet. In Kombination mit anderen, ebenfalls noch nicht geschlossenen Problemen, lässt sich damit ein Ausbruch aus der Java-Sandbox erreichen und beliebiger Code auf dem betreffenden Rechner ausführen.

Webseiten

Dies funktioniert nicht zuletzt mit Java-Applets, also in Webseiten eingebetteten Programmen. Über entsprechend manipulierte Webseiten ließen sich also mit Java ausgestattete Rechner relativ einfach mit Schadcode infizieren. Aufgrund der Schwere dieses Problems empfiehlt es sich weiterhin ein installiertes Java-Plugin im Browser zu deaktivieren - oder ganz zu entfernen.

Hintergrund

Die neue Sicherheitslücke wurde wieder vom polnischen Sicherheitsunternehmen Security Explorations aufgespürt, das schon das vorhergehende Problem entdeckt hatte. Eine Stellungnahme von Seiten Oracles gibt es zu den neuen Vorwürfen bislang noch nicht. (apo, derStandard.at, 02.09.12)