Ein Team von Wissenschaftlern um Eric Bodden, Informatikprofessor an der TU Darmstadt und Leiter der Abteilung Secure Software Engineering am Fraunhofer-Institut für Sichere Informationstechnologie (SIT), und Mira Mezini, Professorin für Softwaretechnik an der TU Darmstadt, erhalten den mit knapp 73.000 Euro dotierten Oracle Research Collaboration Award. Oracle zeichnet damit ein Projekt zum automatischen Erkennen von Sicherheitslücken in der Java-Runtime aus.
Bei dem Projekt handelt es sich um eine Weiterentwicklung des FlowTwist-Frameworks, mit dem die Forscher die Ursachen bekannter Schwachstellen in der Java-Laufzeitbibliothek analysierten und das bereits 2014 von Oracle gefördert wurde. FlowTwist findet Sicherheitslücken im Code der Runtime automatisch und ohne auf die Unterstützung eines Entwicklers angewiesen zu sein.
Das neue, jetzt prämierte Projekt will die Analysesoftware verbessern, um weitere Arten von Schwachstellen aufzuspüren, und zudem eine sichere Alternative zur aktuellen Art der Zugriffskontrolle in der Java Standard Library entwickeln. Diese Kontrolle soll eigentlich die Herkunft des gerade ausgeführten Programmcodes überprüfen, bevor ihm sicherheitskritische Operationen gestattet werden. Tatsächlich werden diese Prüfungen jedoch oft abgekürzt, was bisweilen von Hackern für Angriffe auf die Java-Plattform ausgenutzt wird. (Quelle: TU Darmstadt/rf)
