Java bleibt weiterhin ein Sicherheitsrisiko

Das Notfall-Update, das Oracle am Donnerstagabend für Java 7 bereitgestellt hat, beseitigt längst nicht alle ausnutzbaren Sicherheitslücken in der Software.

Heute gelesen in: IDG . (03.09.2012)

Oracle hat am 30. August die neue Version Java 7 Update 7 veröffentlicht, um vor allem eine Sicherheitslücke zu schliessen, die bereits für Angriffe ausgenutzt wird. Doch dieser Interims-Patch ist wirklich nur eine Notlösung. Er beseitigt zwar den Angriffsvektor, über den vorhandene Schwachstellen bei den beobachteten Attacken ausgenutzt werden, nicht jedoch die Mehrzahl der eigentlichen Fehler.

Java bleibt trotz Update anfällig Forscher des polnischen Sicherheitsunternehmens Security Explorations hatten nach eigenen Angaben bereits im April 29 Sicherheitslücken an Oracle gemeldet, darunter auch die inzwischen für Angriffe genutzte. Sie schickten auch 16 Demo-Exploits mit. Die damit demonstrierten Angriffe auf die Lücken kombinieren eine Schwachstelle in der Java-Klasse sun.awt.SunToolkit mit je einer der anderen Lücken, etwa in Java Beans. Damit kann eingeschleuster Code aus der Java-Sandbox (Java Virtual Machine) ausbrechen und auf das System zugreifen.

Oracles Reaktion auf die realen Angriffe, das Bereitstellen der Versionen Java 7 Update 7 und Java 6 Update 35, beseitigt den Angriffsvektor, namentlich die Methoden getField() und getMethod() in sun.awt.SunToolkit, sowie drei darüber ausnutzbare Schwachstellen in Java Beans der Generation 7. Die Mehrzahl der eigentlichen Fehler ist jedoch nach wie vor in den aktuellen Java-Versionen präsent.

Der Gründer und Chef der polnischen Sicherheitsfirma, Adam Gowdiak, hat noch am Freitag die Entdeckung einer weiteren Schwachstelle gemeldet, mit der sich die nicht beseitigten Fehler wieder ausnutzen lassen. Auch auf dem neuen Weg ist ein Ausbruch aus der Sandbox möglich. Dies betrifft jedoch weiterhin nur Java 7 – für Java 6 ist dies den polnischen Forschern nicht gelungen. Security Explorations will keine Details veröffentlichen, bevor Oracle die Lücken beseitigt hat.

Der nächste planmässige Termin für Java-Updates ist der 16. Oktober. Ob Oracle noch ein weiteres Update vor diesem Patch Day bereitstellt, wird wohl auch davon abhängen, ob es Onlinekriminellen gelingt, die Zeit zu nutzen, um einen neuen Angriffsvektor auf die vorhandenen Schwachstellen zu entwickeln.

Deshalb bleibt es bei der Empfehlung, Java komplett zu deinstallieren, wenn man es nicht unbedingt braucht. Wer zumindest auf das Plug-in (JRE - Java Runtime Environment) verzichten kann, aber für lokale Anwendungen wie OpenOffice oder seinen Minecraft-Server Java benötigt, sollte JRE im Browser deaktivieren.

Entwarnung! Oracle hat mit Java 7 Update 7 ein außerplanmäßiges Sicherheitsupdate veröffentlicht.

Update: 18. 09. 2012

Der Hersteller der Java-Laufzeitumgebung, das Unternehmen Oracle, hat mit Java 7 Update 7 ein außerplanmäßiges Sicherheitsupdate veröffentlicht. Das BSI empfiehlt Computernutzern, die die Java-Laufzeitumgebung benötigen, dieses Sicherheitsupdate schnellstmöglich zu installieren.

Um einen Zeitverzug durch die automatische Update-Funktion der Software zu vermeiden, empfiehlt das BSI, die aktuelle Java-Version manuell zu installieren. Die aktuelle Java-Software steht auf der Webseite des Herstellers unter http://www.java.com/de/download/manual.jsp (kein Sicherheitsrisiko eingehen - kopieren, und dann manuell einfügen!) zum Download bereit.

Mit dem Sicherheitsupdate wird die kritische Schwachstelle geschlossen, die bereits seit mehreren Tagen aktiv durch den Besuch von präparierten Webseiten ausgenutzt wird. Des Weiteren werden mit dem Sicherheitsupdate auch drei weitere Schwachstellen geschlossen, von denen zwei ebenfalls als kritisch bewertet wurden.
Internetnutzern hatte das BSI empfohlen, die Java Plug-Ins ihres Internet-Browsers zu deaktivieren. Nach Installation des Java-Sicherheitsupdates können auch die Browser Plug-Ins wieder aktiviert und genutzt werden.