Java SE

Die Schwachstelle betrifft die Java-Laufzeitumgebung (Java Runtime Environment, JRE) von Oracle Java SE – also die Komponente, die Java-Anwendungen und Applets auf dem System ausführt. Der Fehler liegt darin, dass die voreingestellte Sicherheitskonfiguration den Zugriff auf bestimmte interne Java-Pakete nicht einschränkte. Dadurch entsteht eine Lücke in der sogenannten Java-Sandbox – jenem Schutzmechanismus, der nicht vertrauenswürdigen Code vom übrigen System abschotten soll. Ein nicht vertrauenswürdiges Java-Programm oder ein im Browser geladenes Applet kann diese ungeschützten Pakete nutzen, um aus der Sandbox auszubrechen und ihre Beschränkungen zu umgehen. Gelingt das, kann ein aus der Ferne agierender Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit des betroffenen Systems beeinträchtigen. Besonders gefährdet sind Umgebungen, in denen Anwender unbedacht Java-Inhalte aus dem Web ausführen, da der Angriff allein durch das Laden eines präparierten Applets ausgelöst werden kann.