News 03.09.2012, 08:09 Uhr

Java bleibt weiterhin ein Sicherheitsrisiko

Das Notfall-Update, das Oracle am Donnerstagabend für Java 7 bereitgestellt hat, beseitigt längst nicht alle ausnutzbaren Sicherheitslücken in der Software.
Oracle hat am 30. August die neue Version Java 7 Update 7 veröffentlicht, um vor allem eine Sicherheitslücke zu schliessen, die bereits für Angriffe ausgenutzt wird. Doch dieser Interims-Patch ist wirklich nur eine Notlösung. Er beseitigt zwar den Angriffsvektor, über den vorhandene Schwachstellen bei den beobachteten Attacken ausgenutzt werden, nicht jedoch die Mehrzahl der eigentlichen Fehler.
Forscher des polnischen Sicherheitsunternehmens Security Explorations hatten nach eigenen Angaben bereits im April 29 Sicherheitslücken an Oracle gemeldet, darunter auch die inzwischen für Angriffe genutzte. Sie schickten auch 16 Demo-Exploits mit. Die damit demonstrierten Angriffe auf die Lücken kombinieren eine Schwachstelle in der Java-Klasse sun.awt.SunToolkit mit je einer der anderen Lücken, etwa in Java Beans. Damit kann eingeschleuster Code aus der Java-Sandbox (Java Virtual Machine) ausbrechen und auf das System zugreifen.
Oracles Reaktion auf die realen Angriffe, das Bereitstellen der Versionen Java 7 Update 7 und Java 6 Update 35, beseitigt den Angriffsvektor, namentlich die Methoden getField() und getMethod() in sun.awt.SunToolkit, sowie drei darüber ausnutzbare Schwachstellen in Java Beans der Generation 7. Die Mehrzahl der eigentlichen Fehler ist jedoch nach wie vor in den aktuellen Java-Versionen präsent.
Der Gründer und Chef der polnischen Sicherheitsfirma, Adam Gowdiak, hat noch am Freitag die Entdeckung einer weiteren Schwachstelle gemeldet, mit der sich die nicht beseitigten Fehler wieder ausnutzen lassen. Auch auf dem neuen Weg ist ein Ausbruch aus der Sandbox möglich. Dies betrifft jedoch weiterhin nur Java 7 – für Java 6 ist dies den polnischen Forschern nicht gelungen. Security Explorations will keine Details veröffentlichen, bevor Oracle die Lücken beseitigt hat.
Der nächste planmässige Termin für Java-Updates ist der 16. Oktober. Ob Oracle noch ein weiteres Update vor diesem Patch Day bereitstellt, wird wohl auch davon abhängen, ob es Onlinekriminellen gelingt, die Zeit zu nutzen, um einen neuen Angriffsvektor auf die vorhandenen Schwachstellen zu entwickeln.
Deshalb bleibt es bei der Empfehlung, Java komplett zu deinstallieren, wenn man es nicht unbedingt braucht. Wer zumindest auf das Plug-in (JRE - Java Runtime Environment) verzichten kann, aber für lokale Anwendungen wie OpenOffice oder seinen Minecraft-Server Java benötigt, sollte JRE im Browser deaktivieren.



Kommentare
Avatar
Kovu
07.09.2012
...zumal Java nicht mal auf ihrem eigenen Mist gewachsen ist. Sie wollen sich mit Java positionieren, drücken sich aber vor der Verantwortung und Weiterentwicklung.

Avatar
schmidicom
10.09.2012
...zumal Java nicht mal auf ihrem eigenen Mist gewachsen ist. Sie wollen sich mit Java positionieren, drücken sich aber vor der Verantwortung und Weiterentwicklung. Aber wenigstens hat Oracle das ganze aufgekauft und nicht schlicht und einfach geklaut wie eine gewisse andere Firma die uns allen gut bekannt sein dürfte. Irgendwann wird Java genau so enden die Flash, das ist ja auch unter seinem neuen Besitzer ausgeblutet.