Java Runtime Environment (JRE)

Die Schwachstelle steckt in der Java Runtime Environment (JRE), dem Laufzeitsystem von Oracle, das Java-Programme auf einem Rechner ausführt. Ursache sind unzureichende Prüfungen beim Aufruf privilegierter Methoden: Die JRE verlässt sich darauf, dass von einer vertrauenswürdigen Klasse abgeleitete Objekte deren sicherheitsrelevante Methoden unverändert übernehmen. Ein Angreifer kann jedoch ein nicht vertrauenswürdiges Objekt einschleusen, das die vertrauenswürdige Klasse erweitert oder eine entsprechende Schnittstelle nutzt, ohne die maßgebliche Methode anzupassen. Über diese Verkettung von als vertrauenswürdig eingestuften Methoden lassen sich die Zugriffskontrollen umgehen. Im Ergebnis kann ein entfernter Angreifer beliebigen Code ausführen und so Vertraulichkeit, Integrität und Verfügbarkeit des Systems beeinträchtigen. Betroffen sind Rechner, auf denen die verwundbare Java-Laufzeitumgebung installiert ist – etwa beim Ausführen manipulierter Java-Anwendungen oder Applets über den Browser.