Veröffentlichung von Java 7 Update 11 bringt neue Schwachstellen

Auch bei der aktuellen VersionJava 7 Update 11 erlauben Exploits eine vollständige Umgehung der Java-Sicherheitssandbox.

Die polnische Sicherheitsfirma Security Exploitations hat am Freitag bekanntgegeben, Oracle zwei neue Java-Schwachstellen einschließlich Demo-Code zu ihrer Ausnutzung gemeldet zu haben. Damit wird klar: Selbst nach der Aktualisierung vergangene Woche gibt es bei Java weiterhin gravierende Sicherheitsprobleme. „Wir konnten bestätigen, dass auch bei der aktuellen Version Java 7, Update 11 eine vollständige Umgehung der Java-Sicherheitssandbox möglich ist“, schreibt Adam Gowdiak, CEO von Security Solutions, in einem Beitrag für die Mailing-Liste Full Disclosure.

Dabei war die Woche auch so schon schwierig genug für den Ruf von Java gewesen. In ihrem Verlauf gab es Berührungspunkte mit einer anderen großen Nachricht, nämlich der von Kaspersky Lab aufgedeckten Spionage-Kampagne „Red October“: Wie die israelische Firma Seculert feststellte, wurde bei diesem mit einer Vielzahl von Werkzeugen durchgeführten Angriff auch mindestens ein bekanntes Java-Exploit eingesetzt.

Dazu heißt es im Blog von Seculert:

„Bei der Untersuchung der Command & Control-Server der „Red October“-Kampagne hat Seculert einen speziellen Ordner entdeckt, der von den Angreifern für einen weiteren Angriff genutzt wurde. Dazu wurde eine E-Mail mit einem Link zu einer speziellen PHP-Webseite verschickt, die eine Schwachstelle von Java (CVE-2011-3544) ausnutzt.“

Wie es in den Beitrag weiter heißt, ist diese Schwachstelle seit 2011 bekannt. Damit war sie keine Neuigkeit mehr, als sie im Februar 2012 in eine Java JAR-Datei kompiliert wurde.

Die Seculert-Analyse kam kurz nach einer erneuten Empfehlung des US-Heimatschutzministeriums, dass Nutzer Java auf ihren Computern deaktivieren sollten – obwohl Oracle einen Patch dafür veröffentlicht hatte. In der aktualisierten Empfehlung vom 14. Januar heißt es, „wahrscheinlich werden weitere Java-Schwachstellen identifiziert werden. Um sich gegen diese und künftige Schwachstellen zu schützen, sollten Sie über die Deaktivierung von Java in Web-Browsern nachdenken, bis angemessene Updates zur Verfügung stehen“. Bis die erwähnten „künftigen Schwachstellen“ ans Tageslicht kamen, dauerte es dank Security Exploitations anschließend nur zwei Tage.

Wer Java schon deaktiviert hat, zeigt wenig Neigung, dies bald rückgängig zu machen. „Oracle hat ein Jahr gebraucht, um nur einen Teil des Problems mit Fällen von eskalierten Privilegien in den Griff zu bekommen, von denen Security Exploitations berichtet hat. Bei diesem Tempo kann es noch einmal zwei Jahre dauern, bis diese Klasse von Fehlern vollständig aus der Code-Basis entfernt ist“, erklärt HD Moore, Sicherheitschef bei Rapid7 und Chef-Architekt von Metasploit.

Teil des Problems mit Java ist laut Moore sein veralteter Ansatz beim Sandboxing: „Die Java-Sandbox wurde entwickelt, als die Bedrohungen für Desktop-Nutzer noch ganz anders aussahen. Die aktuelle Generation von Sandboxes wie bei Chrome, Adobe und Internet Explorer sind eine Ebene höher implementiert und schränken so ein, was Prozesse in der Sandbox tun können, statt zu versuchen, die gesamte Logik in die Runtime selbst zu zwingen. Die Java-Sandbox ist noch die alte Variante. Es braucht hier nur einen Logik-Fehler oder irgendeine Arbeitsspeicher-Korruption, und schon kann eine Webseite Code im Kontext des Nutzers ausführen“. Er verweist auf ein Beispiel, bei dem Windows 8 „trotz einer Reihe von Verbesserungen bei der Browser-Sicherheit“ immer noch aktuellen Java-Schwächen zum Opfer fällt und eine Remote-Shell zur Verfügung stellt.

Doch trotz solcher bedeutenden Sicherheitsprobleme ist es laut Experten nicht immer realistisch, von der IT-Abteilung zu erwarten, dass sie für eine gewisse Zeit ganz auf Java verzichtet.

Für Hilik Kotler, Mitgründer von Promisec, ist es keine realistische Strategie, einfach zu empfehlen, auf wichtige Software-Werkzeuge zu verzichten. „Diese Woche ist es vielleicht Java, aber vor zwei Wochen war es der Internet Explorer, und vor zwei Monaten konnte Adobe nicht sicher eingesetzt werden“, sagt er. In seinen Augen kann es beim Umgang mit Schwachstellen nicht darum gehen, die gewohnte Arbeitsumgebung für Mitarbeiter ständig zu verändern. Die Empfehlung, auf bestimmte Software zu verzichten, sei nur „die einfachste Lösung, wenn man nicht die richtigen Werkzeuge hat“.

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Hacker-Tools und -Techniken, Untergrundseiten, Hacker-Gruppen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close