01.09.2012, 16:46

Frank Ziemann

Weiter angreifbar

Java-Update lässt viele Lücken offen

Sicherheitslücken in Java

Das Notfall-Update, das Oracle am Donnerstag Abend für Java 7 bereit gestellt hat, beseitigt längst nicht alle ausnutzbaren Sicherheitslücken in der Software. Zudem haben Sicherheitsforscher noch eine weitere Schwachstelle entdeckt, die eine Ausnutzung dieser offenen Lücken ermöglicht.
Oracle hat am 31. August die neue Version Java 7 Update 7 veröffentlicht, um vor allem eine Sicherheitslücke zu schließen, die bereits für Angriffe ausgenutzt wird. Doch dieser Interims-Patch ist wirklich nur eine Notlösung. Er beseitigt zwar den Angriffsvektor, über den vorhandene Schwachstellen bei den beobachteten Attacken ausgenutzt werden, nicht jedoch die Mehrzahl der eigentlichen Fehler.
Forscher des polnischen Sicherheitsunternehmens Security Explorations hatten nach eigenen Angaben bereits im April 29 Sicherheitslücken an Oracle gemeldet, darunter auch die inzwischen für Angriffe genutzte. Sie schickten auch 16 Demo-Exploits (PoC - Proof of Concept) mit. Die damit demonstrierten Angriffe auf die Lücken kombinieren eine Schwachstelle in der Java-Klasse sun.awt.SunToolkit mit je einer der anderen Lücken, etwa in Java Beans. Damit kann eingeschleuster Code aus der Java-Sandbox (Java Virtual Machine) ausbrechen und auf das System zugreifen.
Oracles Reaktion auf die realen Angriffe, das Bereitstellen der Versionen Java 7 Update 7 und Java 6 Update 35, beseitigt den Angriffsvektor, namentlich die Methoden getField() und getMethod() in sun.awt.SunToolkit, sowie drei darüber ausnutzbare Schwachstellen in Java Beans der Generation 7. Die Mehrzahl der eigentlichen Fehler ist jedoch nach wie vor in den aktuellen Java-Versionen präsent.
Der Gründer und Chef der polnischen Sicherheitsfirma, Adam Gowdiak, hat noch am Freitag die Entdeckung einer weiteren Schwachstelle gemeldet, mit der sich die nicht beseitigten Fehler wieder ausnutzen lassen. Auch auf dem neuen Weg ist ein Ausbruch aus der Sandbox möglich. Dies betrifft jedoch weiterhin nur Java 7 – für Java 6 ist dies den polnischen Forschern nicht gelungen. Security Explorations will keine Details veröffentlichen, bevor Oracle die Lücken beseitigt hat.
Der nächste planmäßige Termin für Java-Updates ist der 16. Oktober. Ob Oracle noch ein weiteres Update vor diesem Patch Day bereit stellt, wird wohl auch davon abhängen, ob es Online-Kriminellen gelingt die Zeit zu nutzen, um einen neuen Angriffsvektor auf die vorhandenen Schwachstellen zu entwickeln.
Deshalb bleibt es bei der Empfehlung Java komplett zu deinstallieren, wenn man es nicht unbedingt braucht. Wer zumindest auf das Plug-in (JRE - Java Runtime Environment) verzichten kann, aber für lokale Anwendungen wie OpenOffice oder seinen Minecraft-Server Java benötigt, sollte unserem Ratgeber folgen und die JRE im Browser deaktivieren.
Kommentare zu diesem Artikel (1)
Windows 8: Alle Informationen
Windows 8
Alle Details

Alle Informationen und Updates zum neuen Betriebssystem Windows 8 von Microsoft. mehr

- Anzeige -
PC-WELT Specials
1567385
Content Management by InterRed