Der Sicherheitsspezialist Sami Koivu hat eine Sicherheitslücke in Java dokumentiert , über die er Sun bereits 2008 informiert hatte. Ein Test von heise Security bestätigt seine Angabe, dass sie immer noch offen ist.

Der Demo-Exploit verschob einen Chrome-Link, der ursprünglich auf dem Desktop lag.

Die Lücke betrifft den Dateiauswahl-Dialog JFileChooser; durch diese Komponente kann ein Java-Applet ohne Mitwirkung des Anwenders Dateien umbenennen. Eine leicht modifizierte Version des bereitgestellten Demo-Applets verschob mit der aktuellen Java-Version 1.6.0_23 einen Link vom Desktop in einen anderen Ordner. Mit etwas Raffinesse ließe sich durch diesen Zugriff auf das lokale Dateisystem, der unsignierten Applets eigentlich verwehrt sein sollte, deutlich schlimmeres anrichten.

Der eigentliche Skandal ist, dass Koivu den damaligen Java-Eigentümer Sun Microsystems bereits 2008 über dieses Problem informiert hat. In seinem Blog-Eintrag dokumentiert er seinen ursprünglichen Bug-Report, eine Antwort von Sun und seine Erwiderung darauf. Dieser Vorfall ist umso schwerwiegender, als Lücken in Java mittlerweile routinemäßig ausgenutzt werden, um PCs mit Schad-Software zu infizieren. Nach Beobachtungen des Microsoft Malware Protection Center war Java letztes Jahr das häufigste Angriffsziel für bösartige Web-Seiten. Man darf gespannt sein, wie lange Suns Nachfolger Oracle jetzt braucht, um einen Patch bereitzustellen. (ju)