News
31.08.2012, 09:00 Uhr
Oracle reagiert doch noch auf Java-Lücken
Seit April habe Oracle um zwei gefährliche Java-Lücken gewusst, berichtet der Virenjäger, der die Schwachstelle der Firma gemeldet hatte. Oracle hat mittlerweile reagiert und die Lücken geschlossen.
Update, 31. August: Gestern Abend hat Oracle kommentarlos die Java-Version 7 Update 7 veröffentlicht. Diese soll laut heise.de vier Sicherheitslücken schliessen, wovon drei den höchstmöglichen Schweregrad von 10.0 aufweisen. Oracle bedankt sich in einem Credit-Statement bei Adam Gowdiak, der dem Unternehmen vorwirft, seit Monaten von den Sicherheitsproblemen gewusst zu haben (siehe unten).
Ursprünglicher Artikel vom 30. August: Bereits im April haben Virenjäger Oracle über zwei gefährliche Lücken in Java informiert. Mittlerweile haben auch Hacker von den Schwachstellen Wind bekommen und nützen diese aus.
Wie Adam Gowdiak, CEO der polnischen Sicherheitsfirma Security Explorations, berichtet, habe sein Unternehmen am 2. April Oracle über insgesamt 19 sicherheitsrelevante Fehler in Java 7 hingewiesen. Darunter fanden sich zwei sogenannte Zero-Day-Schwachstellen, also ungepatchte Lücken, die derzeit Hacker benutzen, um Malware zu verbreiten.
Auch in den folgenden Monaten habe Security Explorations immer wieder Oracle über Bugs informiert. Total hat die Firma 26 Lücken identifiziert und gemeldet.
Laut Gowdiak sind die beiden Bugs, die nun von Hackern ausgenutzt werden, so geartet, dass die Cyberkriminellen diese selbst hätten finden können. Er kann aber auch nicht ausschliessen, dass die sensiblen Infos zu den Lücken in die Hände der Hacker gekommen sind. «Wir wissen nicht, mit wem Oracle alles die Berichte über Sicherheitslücken teilt», sagt Gowdiak.
Jedenfalls ist es dem Security-Explorations-CEO unverständlich, «warum Oracle bis zum Critical Patch Update im Oktober zugewartet hat, um die Lücken zu schliessen». Gowdiak hofft nun, dass Oracle angesichts der Ernsthaftigkeit der beiden Java-Lücken, früher einen Patch für diese veröffentlicht.
Oracle hat bislang weder auf die Aussagen von Gowdiak noch auf die Entdeckung der Java-Attacken reagiert.
Auch in den folgenden Monaten habe Security Explorations immer wieder Oracle über Bugs informiert. Total hat die Firma 26 Lücken identifiziert und gemeldet.
Laut Gowdiak sind die beiden Bugs, die nun von Hackern ausgenutzt werden, so geartet, dass die Cyberkriminellen diese selbst hätten finden können. Er kann aber auch nicht ausschliessen, dass die sensiblen Infos zu den Lücken in die Hände der Hacker gekommen sind. «Wir wissen nicht, mit wem Oracle alles die Berichte über Sicherheitslücken teilt», sagt Gowdiak.
Jedenfalls ist es dem Security-Explorations-CEO unverständlich, «warum Oracle bis zum Critical Patch Update im Oktober zugewartet hat, um die Lücken zu schliessen». Gowdiak hofft nun, dass Oracle angesichts der Ernsthaftigkeit der beiden Java-Lücken, früher einen Patch für diese veröffentlicht.
Oracle hat bislang weder auf die Aussagen von Gowdiak noch auf die Entdeckung der Java-Attacken reagiert.
31.08.2012
31.08.2012