Javas Heartbleed Äquivalent 25.04.2014, 11:11 Uhr

IT-Forscher aus Bochum knacken Programmiersprache Java

Sicherheitsforschern der Ruhr-Universität-Bochum ist es gelungen, gravierende Sicherheitslücken in der Programmiersprache Java ausfindig zu machen. Diese führen dazu, dass Hacker Zugriff auf verschlüsselte Kommunikation haben. Um die unzähligen potentiellen Opfer zu schützen, hat Hersteller Oracle erneut ein Update herausgegeben, das die Lücke angeblich schließt. 

Der US-amerikanische Softwarehersteller hat es sich im kalifornischen Redwood Shores im Silicon Valley gemütlich gemacht. Er muss sich allerdings mit Sicherheitslücken in seiner berühmten Programmiersprache Java herumschlagen. Bochumer Forscher machten ihn darauf aufmerksam. 

Der US-amerikanische Softwarehersteller hat es sich im kalifornischen Redwood Shores im Silicon Valley gemütlich gemacht. Er muss sich allerdings mit Sicherheitslücken in seiner berühmten Programmiersprache Java herumschlagen. Bochumer Forscher machten ihn darauf aufmerksam. 

Foto: Oracle

Ein Forscherteam um Prof. Jörg Schwenk vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum entdeckte in der Java-Implementierung des Verschlüsselungsprotokolls zur sicheren Datenverarbeitung im Internet drei Schwachstellen, die dazu führen können, dass die verschlüsselte Kommunikation von Dritten mitgelesen wird. Über diese Schwachstellen konnten die Bochumer IT-Sicherheitsforscher die TLS-Verschlüsselung komplett brechen. Die Wissenschaftler informierten Hersteller Oracle, der die Sicherheitslücken mit einem Update angeblich geschlossen hat.

Forscher raten zur schnellen Installation des Updates

Betroffen von den Problemen mit sicheren Verbindungen unter Java ist im Grunde alles, was über die Programmiersprache Java und deren Laufzeitumgebung zwischen Client-Programmen und Servern abläuft und durch Verschlüsselung geschützt werden soll – zum Beispiel Webservices. Das Forscherteam aus Bochum um Prof. Dr. Jörg Schwenk rät, die Java-Updates so schnell wie möglich zu installieren.

Die sich aus diesen Sicherheitslücken ergebende Problematik entspricht weitgehend der des aktuell überall diskutierten Heartbleed-Bugs der Verschlüsselungssoftware OpenSSL. Sie ist ebenfalls ein Open-Source-Programm, auf dessen Code Programmierer der ganzen Welt Zugriff haben. Ein deutscher Programmierer hat schließlich den Bug versehentlich verursacht.

Java-Sicherheitslücke zeigt Parallelen zum Heartbleed-Bug

Die aktuell überall im Internet diskutierte sogenannte Heartbleed-Attacke auf verschlüsselte TLS-Verbindungen dürfte wohl als eine der gravierendsten Sicherheitslücken aller Zeiten in die Geschichte eingehen. Schließlich spielt Transport Layer Security (TLS) die wichtigste Rolle bei der verschlüsselten Übertragung von Daten. Die Sicherheitslücke befindet sich in der weit verbreiteten Krypto-Bibliothek OpenSSL, die von rund der Hälfte der Internetseiten für sichere, verschlüsselte Verbindungen im Internet genutzt wird. Durch den Bug können Cyberkriminelle auf Daten zugreifen, die auf den Computern ihrer Kommunikationspartner gespeichert sind.

Genau wie bei Heartbleed stecken auch bei seinem Java-Äquivalent die Probleme in der Implementierung der TLS. Das zuständige Softwaremodul heißt unter Java zwar nicht OpenSSL, sondern JSSE (Java Secure Socket Extension), dient aber dem gleichen Zweck. Das soeben von Oracle herausgegebene neue Update soll ein Problem in einer kryptografischen Routine (RSA-OAEP) von Java lösen, die für Angriffe anfällig ist. 

Top Stellenangebote

SEMIKRON Elektronik GmbH & Co. KG-Firmenlogo
SEMIKRON Elektronik GmbH & Co. KG Projektleiter (m/w) Automatisierung / Maschinenbau Nürnberg
Enercon GmbH-Firmenlogo
Enercon GmbH Group Manager (m/f) System Performance and Aeroacoustics Aurich
TenneT intern-Firmenlogo
TenneT intern Ingenieur (m/w) Technische Strategieentwicklung Bayreuth
TenneT intern-Firmenlogo
TenneT intern Ingenieur (m/w) Asset Management Concepts Bayreuth
Institut für Solarenergieforschung GmbH-Firmenlogo
Institut für Solarenergieforschung GmbH Wissenschaftlicher Mitarbeiter/ Doktorand (m/w) Hannover
Institut für Solarenergieforschung GmbH-Firmenlogo
Institut für Solarenergieforschung GmbH Ingenieur (m/w) Elektrotechnik / Maschinenbau Hameln
BAL Bauplanungs und Steuerungs GmbH-Firmenlogo
BAL Bauplanungs und Steuerungs GmbH Bauleiter (w/m) Objektüberwachung Hamburg
Fr. Fassmer GmbH & Co. KG-Firmenlogo
Fr. Fassmer GmbH & Co. KG Project Manager (m/w) Composites Berne
EMIS Electrics GmbH-Firmenlogo
EMIS Electrics GmbH Planungsingenieur (m/w) für den Fachbereich Sekundär- und Schutztechnik Lübbenau
Deutsche Rentenversicherung Bund-Firmenlogo
Deutsche Rentenversicherung Bund Betriebsingenieurinnen/Betriebsingenieure - Informations- und Kommunikationstechnik Berlin