Java Runtime Environment (JRE)

Die Schwachstelle steckt in der HotSpot-Komponente der Java Runtime Environment (JRE), also im Laufzeitsystem, das Java-Anwendungen ausführt – betroffen sind Oracle Java SE 7 und das quelloffene OpenJDK 7. HotSpot ist die virtuelle Maschine, die den eigentlichen Programmcode ausführt. Über die Lücke kann ein Angreifer aus der Ferne die Integrität des Systems beeinträchtigen, also Daten oder den Programmablauf manipulieren. Nach Darstellung des ursprünglichen Entdeckers lässt sich der Fehler dazu nutzen, Berechtigungsprüfungen zu umgehen: Mithilfe von Reflection und einer sogenannten Typverwechslung (Type Confusion) können eigentlich unveränderliche öffentliche Felder beliebig überschrieben werden, was sich an Ganzzahl- und Gleitkommafeldern zeigen lässt. Auf diesem Weg lässt sich der Security Manager – die Schutzinstanz, die Java-Code in seinen Rechten beschränkt – außer Kraft setzen. Oracle hat sich zu diesen weitergehenden Angaben nicht geäußert. Gefährdet sind Systeme, die nicht vertrauenswürdigen Java-Code ausführen.