Java Runtime Environment (JRE)

Die Schwachstelle betrifft die Java Runtime Environment (JRE), also die Laufzeitumgebung, mit der Java-Programme auf einem System ausgeführt werden – sowohl in Oracles Java SE als auch im quelloffenen OpenJDK. Der Defekt steht im Zusammenhang mit der Verwaltungsschnittstelle JMX und erlaubt es einem Angreifer, die Java-Sicherheits-Sandbox zu umgehen. Diese Sandbox soll fremden Java-Code – etwa aus dem Internet geladene Applets – streng abschotten und ihm nur eingeschränkte Rechte gewähren. Wird sie umgangen, kann der eingeschleuste Code aus dieser Schutzhülle ausbrechen und außerhalb der vorgesehenen Beschränkungen auf dem System agieren. Der Angriff erfolgt aus der Ferne, erfordert jedoch eine Mitwirkung des Nutzers: Das Opfer muss etwa eine präparierte Webseite mit bösartigem Java-Inhalt öffnen oder ausführen. Betroffen sind Systeme, auf denen die verwundbare Java-Laufzeitumgebung installiert ist und Java-Inhalte aus nicht vertrauenswürdigen Quellen verarbeitet werden.