Der als CVE-2022-21449 bezeichnete Fehler wurde im Elliptic Curve Digital Signature Algorithm (ECDSA) des Unternehmens für Java 15 und allen neueren Versionen gefunden. Er ermöglichte es Hackern unter anderem, Zwei-Faktor-Authentifizierungscodes, Autorisierungsdaten und dergleichen zu fälschen. ECDSA ist ein Algorithmus, der Nachrichten digital authentifiziert. Da er digitale Schlüssel generiert, wird er häufig in Standards wie der Zwei-Faktor-Authentifizierung verwendet.

Die Schwachstelle wurde zuerst von Neil Madden vom Softwareunternehmen für Identitäts- und Zugangsmanagement ForgeRock entdeckt, der die Malware mit dem leeren Personalausweis aus der Science-Fiction-Serie Doctor Who verglich. In der Serie sieht die Person, die den Ausweis ansieht, das, was der Inhaber möchte, was sie sieht, obwohl der Ausweis leer ist.

„Es stellte sich heraus, dass einige neuere Versionen von Java bei der Implementierung weit verbreiteter ECDSA-Signaturen für einen ähnlichen Trick anfällig waren“, erklärte Madden dem Tech-Magazin Techradar.

„Wenn Sie eine der anfälligen Versionen ausführen, kann ein Angreifer leicht einige Arten von Zertifikaten und sogar WebAuthn-Authentifizierungsnachrichten fälschen. Alles mit dem digitalen Äquivalent eines leeren Blattes Papier.“ Der Bug hat eine offizielle Bewertung von 7,5 / 10 in Sachen Schweregrad erhalten, aber Madden widerspricht dieser Bewertung, denn für ihn ist er noch höher einzustufen. „Wenn Sie ECDSA-Signaturen für einen dieser Sicherheitsmechanismen verwenden, kann ein Angreifer sie trivial und vollständig umgehen, wenn auf Ihrem Server eine Version von Java 15, 16, 17 oder 18 liegt“, erklärte er.

Angeblich sind nur die Java-Versionen 15 und neuer betroffen, obwohl Oracle auch die Versionen 7.8 und 11 als anfällig auflistet. Dennoch werden alle Kundinnen und Kunden dringend gebeten, ihre Java-Endpunkte auf die neueste Version zu aktualisieren.