Auch nach 2 Jahre hat es Oracle nicht geschafft eine Lücke in Java zu schließen und ein Update ist nicht in Sicht. Wie die polnische Sicherheitsfirma Security Explorations herausgefunden hat, ist ein Angriff über eine kritische Lücke (CVE-2013-5838) weiterhin möglich.
Der neue oder sollte man besser sagen alte Exploit ermöglicht es aus der Java Sandbox auszubrechen und damit Schadprogramme auf dem Rechner nachzuladen.
Gowdiak der die Lücke gefunden hat, schreibt nun auf der Mailing-Liste „Full Disclosure“, dass sich die Lücke auch in Serverumgebungen und Installationen mit Googles App Engine für Java-Entwickler ausnutzen lasse.
Betroffen sind nach Angaben der Sicherheitsforscher die Versionen Java SE Update 97, Java SE 8 Update 74 und Java SE 9 Early Access Build 108.