Oracle schließt zehn Jahre alte Java-Lücke

Oracle hat einen außerplanmäßigen Patch für eine zehn Jahre alte Schwachstelle in Javas Entwicklungsumgebung veröffentlicht, die Angreifer ohne Nutzername und Passwort aus der Ferne für Denial-of-Service-Attacken ausnutzen können. Sie steckt in JRE und JDK 6 Update 23 oder früher, JDK und JRE 5.0 Update 27 oder früher sowie SDK und JRE 1.4.2_29 oder früher.

Wie aus einer Sicherheitsmeldung des Anbieters hervorgeht, kann es bei der Konvertierung des Werts 2.2250738585072012e-308 in eine binäre Gleitkommazahl zum Absturz der Java-Laufzeitumgebung kommen. Dadurch würden vor allem javabasierte Anwendungen und Server unter Windows, Solaris und Linux anfällig für Angriffe.

Oracle stuft die Sicherheitslücke als mittelschwer ein: Im zehnstufigen Common Vulnerability Scoring System (CVSS) ist sie mit 5.0 bewertet.

Mehreren Einträgen in Foren für Java-Entwickler zufolge war der Bug erstmals 2001 gemeldet worden – damals noch an Sun Microsystems, das bis zur Übernahme durch Oracle Anfang 2010 für Java zuständig war. Im November 2009 wies Dmitry Nadezhin erneut auf die Schwachstelle hin. Dennoch wurde sie erst jetzt beseitigt.

Ein Sicherheitsexperte hatte kürzlich Oracles Patch-Politik scharf kritisiert. Der vierteljährliche Patch-Zyklus für Schwachstellen in Datenbanken habe unter den zahlreichen Übernahmen und der Eingliederung der dadurch erworbenen Produkte gelitten, sagte Amichai Shulman, CTO von Imperva, Mitte Januar. Es sei anzunehmen, dass eine größere Anzahl an Produkten auch zahlreichere Fixes notwendig mache. „Dennoch stellen wir fest, dass die Patches kleiner werden und trotz der zusätzlichen Produkte weniger Fixes beinhalten.“ Er bemängelt auch, dass Oracle keine näheren Angaben zu den Schwachstellen macht.