Der Chef des polnischen Sicherheitsanbieters Security Explorations, Adam Gowdiak, hat jetzt Details zu einer Zero-Day-Lücke in Java SE veröffentlicht.

Dabei handelt es sich interessanterweise um eine Schwachstelle, die Oracle „eigentlich“ schon im September 2013 geschlossen hatte.

Dummerweise soll der Patch von Oracle allerdings unwirksam sein. Als Folge davon kann auf Java-SE-Systemen offenbar Code außerhalb der Java-Sandbox ausgeführt werden.
„Wir haben herausgefunden, dass sich der Oracle-Patch leicht umgehen lässt“, schreibt Gowdiak in einem Beitrag auf Full Disclosure. Dazu müssten nur vier Zeichen des schon im Oktober 2013 veröffentlichten Angriffscodes geändert werden.

Außerdem müsse ein HTTP-Server noch dazu gebracht werden, auf eine erste Anfrage nach einer bestimmten Java-Klasse mit einer Fehlermeldung Typ „404 (nicht gefunden)“ zu reagieren.

Den aktualisierten Angriffscode bietet Security Explorations genauso zum Download an wie eine detaillierte Beschreibung dieser Sicherheitslücke als PDF-Dokument.

Getestet wurde der Exploit mit Java SE 7 Update 97, Java SE 8 Update 74 und auch mit dem Early Access Build 108 von Java SE 9.

Sicherheitsforscher Gowdiak weist allerdings besonders darauf hin, dass die Click2Play-Funktion, die vor der Ausführung von Java-Applets die Zustimmung eines Nutzers einholt, nicht beeinträchtigt ist.