Sicherheitsexperte schließt Java-Lücke auf eigene Faust

24. Oktober 2012, 11:49
4 Postings

Oracle vertröstet auf Patchday im Februar

Wenn ein Software-Unternehmen nicht eingreift, machen sich die User eben selbst ans Werk. Wie Heise berichtet, hat der Sicherheitsforscher Adam Gowdiak eine kritische Sicherheitslücke in Java entdeckt und einen eigenen Patch dafür entwickelt. Der polnische Sicherheitsexperte hat Ende September eine Lücke entdeckt, bei der ein im Browser ausgeführtes Java-Applet dank der Rechte des Users Schadcode platzieren kann. 

Ansporn für Oracle

Jetzt hat Gowdiak einen Patch entwickelt, das schreibt er auf der Sicherheits-Malingliste Full Disclosure. Veröffentlicht wird der Patch allerdings nicht, da sonst die konkreten Details zu der Lücke bekannt werden würden, was ein Sicherheitsrisiko darstellt. Durch Gowdiaks Entdeckung soll vor allem Oracle motiviert werden, einen eigenen Fix zu veröffentlichen. 

Keine Details

Oracle hat zum Oktober-Patchday keinen Patch für die Lücke mehr geschafft, sagt Gowdiak aber, dass ein Patch für Februar 2013 geplant sei. Nach Gowdiaks Angaben hat der Patch lediglich 25 Zeilen Code, der Entwickler hat eine halbe Stunde Aufwand dafür betrieben. Heise schreibt, dass Oracle vermutlich keinen Grund in einer raschen Behebung der Sicherheitslücke sieht, da keine Details über die Lücke bekannt sind. (red, derStandard.at, 24.10.2012)

  • Bild nicht mehr verfügbar
Share if you care.