Eben erst hat der Software-Hersteller Oracle hat eine schwere Sicherheitslücke in seiner Java-Software geschlossen, da macht bereits die Meldung vom nächsten Leck die Runde. Wie der IT-Journalist Brian Krebs auf seinem Blog "Krebs on Security" berichtet, soll in einem Untergrundforum ein unbekannter Gauner eine neue Sicherheitslücke zu Preisen ab 5000 Dollar angeboten haben. Es handele sich dabei um eine Schwachstelle in Java 7, die mit dem jüngsten Oracle-Patch nicht behoben worden sei.
Krebs bezeichnet das Angebot als eine "waffenfähige Version". Der Anbieter liefere damit ein Programm zum Ausnutzen der Lücke und die Grundlagen, um die Lücke für andere Angriffsarten zu verwenden, führt "Ars Technica" aus.
Es ist daher weiter äußerste Vorsicht im Umgang mit der Java-Technik geboten. Die Meldung von Brian Krebs kommt zeitgleich mit einer Warnung der Antiviren-Spezialisten von Trend Micro, das jüngste Java-Update sichere die Software keineswegs gegen alle Arten von Angriffen ab. Der ausgelieferte Fix sei unvollständig, denn er behebe nur eine der zwei gefährlichen Sicherheitslücken im Java-Code. Schon am Montag berichtete das IT-Sicherheitsunternehmen Immunity Products, dass nur eines der zwei Java-Lecks geschlossen worden sei.
Cert, eine US-Organisation für Computersicherheit an der der Carnegie Mellon University, schloss sich diesen Einschätzungen über Oracles sogenannten 7u11-Patch an. Die Experten raten dazu, Java zu deaktivieren, wenn es in Web-Browsern nicht absolut erforderlich sei. Das gelte selbst nach dem 7u11-Update. Hier unsere Tipps zum Deaktivieren und Löschen von Java.
Auf Anfrage von "Ars Technica" zu den Berichten über die nicht behobene Java-Schwachstelle verwies Oracle zunächst auf seine ursprüngliche Sicherheitswarnung. Zum Einwand, diese Meldung stehe mit dem Berichten über neuere Probleme in keiner Verbindung, erklärte das Software-Unternehmen, es gebe keinen weiteren Kommentar ab.
