Gerade eine Woche ist es her, dass Oracle Java 7 Update 15 sowie Java 6 Update 41 bereit gestellt hat, um mehrere Sicherheitslücken zu schließen. Jetzt hat das polnische Sicherheitsunternehmen Security Explorations bekannt gegeben, dass es zwei neue Schwachstellen an Oracle gemeldet hat, die auch Java 7 Update 15 angreifbar machen.

Das Unternehmen um Geschäftsführer Adam Gowdiak hatte auch etliche der in den letzten Monaten bekannt gewordenen Java-Lücken entdeckt. Die neuesten Schwachstellen hat Security Explorations am 25. Februar an Oracle gemeldet, zusammen mit einem Demo-Exploit. Der Hersteller hat zwar gegenüber den Forschern den Erhalt der Informationen bestätigt, jedoch noch keine offizielle Stellungnahme abgegeben.

Die beiden Sicherheitslücken betreffen nach Angaben Gowdiaks nur Java 7, nicht die ältere Generation Java 6. Für Java 6 hat Oracle jedoch bereits verkündet, es werde keine Sicherheits-Updates mehr geben. Eine sichere Alternative zu Java 7 ist es folglich nicht. Die neuen Lücken betreffen die Reflection API (Programmierschnittstelle) in Java 7, die es ermöglicht, noch zur Laufzeit Klassen einzubinden, die nicht vorher bekannt oder definiert sind.

Die nächste reguläre Java-Aktualisierung hat Oracle für den 16. April angekündigt. Sollte sich jedoch heraus stellen, dass die von Security Explorations entdeckten Schwachstellen für Angriffe im Internet ausgenutzt werden, könnte Oracle schon früher ein Notfall-Update bereit stellen.