Oracle schliesst kritische Java-Lücken

Update, 31. August: Gestern Abend hat Oracle kommentarlos die Java-Version 7 Update 7 veröffentlich. Diese soll laut heise.de vier Sicherheitslücken schliessen, wovon drei den höchstmöglichen Schweregrad von 10.0 aufweisen. Oracle bedankt sich in einem Credit Statement bei Adam Gowdiak, der dem Unternehmen vorwirft, seit Monaten von den Sicherheitsproblemen gewusst zu haben (siehe unten). Originalartikel: Bereits im April haben Virenjäger Oracle über zwei gefährliche Lücke in Java informiert. Mittlerweile haben auch Hacker von den Schwachstellen Wind bekommen und ntzen diese aus. Wie Adam Gowdiak, CEO der polnischen Sicherheitsfirma Security Explorations, berichtet, habe sein Unternehmen am 2. April Oracle über insgesamt 19 Sicherheits-relevante Fehler in Java 7 hingewiesen. Darunter fanden sich zwei sogenannte Zero-Day-Schwachstellen, also ungepatchte Lücken, die derzeit Hacker benutzen, um Malware zu verbreiten. Auch in den folgenden Monate habe Security Explorations immer wieder Oracle über Bugs informiert. Total hat die Firma 26 Lücken identifiziert und gemeldet. Laut Gowdiak sind die beiden Bugs, die nun von Hackern ausgenutzt werden, so geartet, dass die Cyberkriminellen diese selbst hätten finden können. Er kann aber auch nicht ausschliessen, dass die sensiblen Infos zu den Lücken in die Hände der Hacker gekommen sind. «Wir wissen nicht, mit wem Oracle alles die Berichte über Sicherheitslücken teilt», sagt Gowdiak. Jedenfalls ist es dem Security-Explorations-CEO unverständlich, «warum Oracle bis zum Critical Patch Update im Oktober zugewartet hat, um die Lücken zu schliessen». Gowdiak hofft nun, dass Oracle angesichts der Ernsthaftigkeit der beiden Java-Lücken, früher einen Patch für diese veröffentlicht. Oracle hat bislang weder auf die Aussagen von Gowdiak noch auf die Entdeckung der Java-Attacken reagiert.