Javas Heartbleed Äquivalent 25.04.2014, 11:11 Uhr

IT-Forscher aus Bochum knacken Programmiersprache Java

Sicherheitsforschern der Ruhr-Universität-Bochum ist es gelungen, gravierende Sicherheitslücken in der Programmiersprache Java ausfindig zu machen. Diese führen dazu, dass Hacker Zugriff auf verschlüsselte Kommunikation haben. Um die unzähligen potentiellen Opfer zu schützen, hat Hersteller Oracle erneut ein Update herausgegeben, das die Lücke angeblich schließt. 

Der US-amerikanische Softwarehersteller hat es sich im kalifornischen Redwood Shores im Silicon Valley gemütlich gemacht. Er muss sich allerdings mit Sicherheitslücken in seiner berühmten Programmiersprache Java herumschlagen. Bochumer Forscher machten ihn darauf aufmerksam. 

Der US-amerikanische Softwarehersteller hat es sich im kalifornischen Redwood Shores im Silicon Valley gemütlich gemacht. Er muss sich allerdings mit Sicherheitslücken in seiner berühmten Programmiersprache Java herumschlagen. Bochumer Forscher machten ihn darauf aufmerksam. 

Foto: Oracle

Ein Forscherteam um Prof. Jörg Schwenk vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum entdeckte in der Java-Implementierung des Verschlüsselungsprotokolls zur sicheren Datenverarbeitung im Internet drei Schwachstellen, die dazu führen können, dass die verschlüsselte Kommunikation von Dritten mitgelesen wird. Über diese Schwachstellen konnten die Bochumer IT-Sicherheitsforscher die TLS-Verschlüsselung komplett brechen. Die Wissenschaftler informierten Hersteller Oracle, der die Sicherheitslücken mit einem Update angeblich geschlossen hat.

Forscher raten zur schnellen Installation des Updates

Betroffen von den Problemen mit sicheren Verbindungen unter Java ist im Grunde alles, was über die Programmiersprache Java und deren Laufzeitumgebung zwischen Client-Programmen und Servern abläuft und durch Verschlüsselung geschützt werden soll – zum Beispiel Webservices. Das Forscherteam aus Bochum um Prof. Dr. Jörg Schwenk rät, die Java-Updates so schnell wie möglich zu installieren.

Die sich aus diesen Sicherheitslücken ergebende Problematik entspricht weitgehend der des aktuell überall diskutierten Heartbleed-Bugs der Verschlüsselungssoftware OpenSSL. Sie ist ebenfalls ein Open-Source-Programm, auf dessen Code Programmierer der ganzen Welt Zugriff haben. Ein deutscher Programmierer hat schließlich den Bug versehentlich verursacht.

Java-Sicherheitslücke zeigt Parallelen zum Heartbleed-Bug

Die aktuell überall im Internet diskutierte sogenannte Heartbleed-Attacke auf verschlüsselte TLS-Verbindungen dürfte wohl als eine der gravierendsten Sicherheitslücken aller Zeiten in die Geschichte eingehen. Schließlich spielt Transport Layer Security (TLS) die wichtigste Rolle bei der verschlüsselten Übertragung von Daten. Die Sicherheitslücke befindet sich in der weit verbreiteten Krypto-Bibliothek OpenSSL, die von rund der Hälfte der Internetseiten für sichere, verschlüsselte Verbindungen im Internet genutzt wird. Durch den Bug können Cyberkriminelle auf Daten zugreifen, die auf den Computern ihrer Kommunikationspartner gespeichert sind.

Genau wie bei Heartbleed stecken auch bei seinem Java-Äquivalent die Probleme in der Implementierung der TLS. Das zuständige Softwaremodul heißt unter Java zwar nicht OpenSSL, sondern JSSE (Java Secure Socket Extension), dient aber dem gleichen Zweck. Das soeben von Oracle herausgegebene neue Update soll ein Problem in einer kryptografischen Routine (RSA-OAEP) von Java lösen, die für Angriffe anfällig ist. 

Top Stellenangebote

Hottinger Baldwin Messtechnik GmbH-Firmenlogo
Hottinger Baldwin Messtechnik GmbH Applikations- / Support-Ingenieur/in Reliability Ismaning bei München
TenneT intern-Firmenlogo
TenneT intern Ingenieur (w/m) europäische Netzentwicklung (ENTSO-E) Bayreuth, Brüssel (Belgien)
TenneT intern-Firmenlogo
TenneT intern Projektleiter (m/w) technisches Engineering SuedOstLink Bayreuth
Hochschule München, Organisation und Personal-Firmenlogo
Hochschule München, Organisation und Personal Wissenschaftliche Mitarbeiterin / Wissenschaftlichen Mitarbeiter München
LUCEBIT GmbH-Firmenlogo
LUCEBIT GmbH Projektleiter / Bauleiter (m/w) Frankfurt (Main)
CLARIANT SE-Firmenlogo
CLARIANT SE Ingenieur / Techniker (m/w) als Leiter Logistik Heufeld bei Rosenheim
Staatliches Bauamt Landshut-Firmenlogo
Staatliches Bauamt Landshut Diplom-Ingenieur/in (FH) / Bachelor Fachrichtung Bauingenieurwesen Landshut
InfraServ Wiesbaden Technik GmbH & Co. KG-Firmenlogo
InfraServ Wiesbaden Technik GmbH & Co. KG Bauleiter (m/w) im Hochbau Wiesbaden
InfraServ Wiesbaden Technik GmbH & Co. KG-Firmenlogo
InfraServ Wiesbaden Technik GmbH & Co. KG Arbeitsvorbereiter/Technische Assistenz (m/w) in der Bahntechnik Wiesbaden
FrieslandCampina Germany GmbH-Firmenlogo
FrieslandCampina Germany GmbH SHE-Manager/ Sicherheitsingenieur (m/w) Heilbronn