Der polnische Sicherheitsforscher Adam Gowdiak hat zusammen mit seinem Team eine kritische Sicherheitslücke in der aktuellen Java Version 7 Update 25 entdeckt, durch die Schadcode auch ausserhalb der Java-Sandbox ausgeführt werden kann. Die Lücke befindet sich im Typensystem.
Es handelt sich laut Adam Gowdiak um eine sog. "Type Confusion Attack". Der Froscher hat Details und einen Exploit zu der von seinem Team entdeckten Lücke veröffentlicht.
Gerade erst im Juni hatte Oracle die aktuelle Java Version 7 Update 25 veröffentlicht. Wer Java installiert hat, sollte unbedingt den Versionsstand überprüfen. Das Java-Plug-in für Internet-Browser steht bei Hackern als traditioneller Verbreitungsweg für Schadsoftware von je her hoch im Kurs, u.a. deshalb, weil sich Java nur mühsam auf dem aktuellen Stand halten läßt.
Man kann sich vor Angriffen am besten schützen, in dem man im Java Control Panel, in der Windows-Systemsteuerung, im Bereich "Sicherheit" die Funktion "Java-Content im Browser aktivieren" abschaltet und so die Java-Einbindung im Browser deaktiviert. Alternativ kann man auch die von Firefox, Chrome und Opera angebotene Click-to-Play Funktion nutzen. Dabei muss der Ausführung von Plug-ins explizit zugestimmt werden.
Wir empfehlen, wenn es irgendwie möglich ist, ganz auf den Einsatz von Java zu verzichten oder zumindest Java-Content im Browser zu deaktivieren.