25.04.2014, 11:11 Uhr | 0 |

Javas Heartbleed Äquivalent IT-Forscher aus Bochum knacken Programmiersprache Java

Sicherheitsforschern der Ruhr-Universität-Bochum ist es gelungen, gravierende Sicherheitslücken in der Programmiersprache Java ausfindig zu machen. Diese führen dazu, dass Hacker Zugriff auf verschlüsselte Kommunikation haben. Um die unzähligen potentiellen Opfer zu schützen, hat Hersteller Oracle erneut ein Update herausgegeben, das die Lücke angeblich schließt. 

Zentrale von Oracle im Silicon Valley
Á

Der US-amerikanische Softwarehersteller hat es sich im kalifornischen Redwood Shores im Silicon Valley gemütlich gemacht. Er muss sich allerdings mit Sicherheitslücken in seiner berühmten Programmiersprache Java herumschlagen. Bochumer Forscher machten ihn darauf aufmerksam. 

Foto: Oracle

Ein Forscherteam um Prof. Jörg Schwenk vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum entdeckte in der Java-Implementierung des Verschlüsselungsprotokolls zur sicheren Datenverarbeitung im Internet drei Schwachstellen, die dazu führen können, dass die verschlüsselte Kommunikation von Dritten mitgelesen wird. Über diese Schwachstellen konnten die Bochumer IT-Sicherheitsforscher die TLS-Verschlüsselung komplett brechen. Die Wissenschaftler informierten Hersteller Oracle, der die Sicherheitslücken mit einem Update angeblich geschlossen hat.

Forscher raten zur schnellen Installation des Updates

Betroffen von den Problemen mit sicheren Verbindungen unter Java ist im Grunde alles, was über die Programmiersprache Java und deren Laufzeitumgebung zwischen Client-Programmen und Servern abläuft und durch Verschlüsselung geschützt werden soll – zum Beispiel Webservices. Das Forscherteam aus Bochum um Prof. Dr. Jörg Schwenk rät, die Java-Updates so schnell wie möglich zu installieren.

Die sich aus diesen Sicherheitslücken ergebende Problematik entspricht weitgehend der des aktuell überall diskutierten Heartbleed-Bugs der Verschlüsselungssoftware OpenSSL. Sie ist ebenfalls ein Open-Source-Programm, auf dessen Code Programmierer der ganzen Welt Zugriff haben. Ein deutscher Programmierer hat schließlich den Bug versehentlich verursacht.

Java-Sicherheitslücke zeigt Parallelen zum Heartbleed-Bug

Die aktuell überall im Internet diskutierte sogenannte Heartbleed-Attacke auf verschlüsselte TLS-Verbindungen dürfte wohl als eine der gravierendsten Sicherheitslücken aller Zeiten in die Geschichte eingehen. Schließlich spielt Transport Layer Security (TLS) die wichtigste Rolle bei der verschlüsselten Übertragung von Daten. Die Sicherheitslücke befindet sich in der weit verbreiteten Krypto-Bibliothek OpenSSL, die von rund der Hälfte der Internetseiten für sichere, verschlüsselte Verbindungen im Internet genutzt wird. Durch den Bug können Cyberkriminelle auf Daten zugreifen, die auf den Computern ihrer Kommunikationspartner gespeichert sind.

Genau wie bei Heartbleed stecken auch bei seinem Java-Äquivalent die Probleme in der Implementierung der TLS. Das zuständige Softwaremodul heißt unter Java zwar nicht OpenSSL, sondern JSSE (Java Secure Socket Extension), dient aber dem gleichen Zweck. Das soeben von Oracle herausgegebene neue Update soll ein Problem in einer kryptografischen Routine (RSA-OAEP) von Java lösen, die für Angriffe anfällig ist. 

Anzeige
Von Klaus Ahrens
Zur StartseiteZur Startseite
schlagworte: 
kommentare

Aktuell wurden noch keine Kommentare zu diesem Artikel abgegeben. Loggen Sie ich ein oder melden Sie sich neu an, wenn Sie noch keine Zugangsdaten haben
> Zum Login     > Neu anmelden