Adam Gowdiak, ein polnischer Sicherheitsexperte, hat mit seiner Firma Security Explorations Sicherheitslücken in Oracles Java-Security-Patch entdeckt. Bei einem Patch für eine schon 2013 entdeckte Sicherheitslücke hat Oracle wohl versäumt, sie zu beheben, sodass diese Java-Version immer noch verwundbar ist.

Die Sicherheitslücke hat den Bezeichner CVE-2013-5838. Laut Oracle ermöglichte diese einen Exploit für Java Applets und Java Web Start nutzende Client-Anwendungen. Zusätzich bekam sie von Oracle den Verletzungsgrad 9.3 bei maximal möglichen 10 Punkten. Das Problem sollte das Java SE 7 Update 40 damals beseitigen. Gowdiak und seine Mitarbeiter, die damals schon auf den Fehler hingewiesen hatten, sind mittlerweile jedoch zur Meinung gekommen, dass Oracle damals beim Update nicht gründlich gewesen sei und zudem den Fehler nicht richtig bewertet habe.

Die Lücke lässt sich auch in Serverumgebungen und Installationen mit Googles App Engine für Java-Entwickler ausnutzen, schreibt Gowdiak nun auf der Mailing-Liste "Full Disclosure". Durch das Ändern von vier Zeichen in Oracles Proof-of-Concept-Code erhalten Angreifer die Möglichkeit, einen "klassischen Angriff auf die JVM (Class Spoofing Attack)" durchzuführen, beschreibt der Forscher. Sogar bei den aktuellen Java-Versionen (Java SE 7 Update 97, Java SE 8 Update 74, Java SE 9 Early Access Build 108). Begleitend von einem Angriffsmöglichkeiten zeigenden technischen Dokument, hat Gowdiak jetzt selbst Proof-of-Concept-Code zur Verfügung gestellt.

Durch den neuen Exploit wird ermöglicht, aus der Sandbox von Java auszubrechen ("A complete Java security escape could be achieved with it."). Das einzige, was zwischen einem sauberen System und einer Infektion mit Schadprogrammen steht, ist nur noch die Zwangsverzögerung "Click-to-Play", die verhindert, das Java-Applets nicht automatisch ausgeführt werden.

Kontaktiert habe man Oracle nun nicht erneut. Gowdiak fasst seine neue Policy auf Full Disclosure zusammen: "Wir tolerieren keine kaputten Fixes mehr". Seine Untersuchungen hatten damals zum Status der Sicherheit von Java einen guten Teil dazu beigetragen, dass Java 8 sich um ein Jahr verzögerte. Aufgrund miserabler Bewertungen in Sachen Sicherheit in unabhängigen Studien und etlicher Sicherheitslücken legte Oracle den Fokus erst mal auf ein sichereres Java. Die Folge war, dass etliche Java-Entwickler von anderen Aufgaben abgezogen und explizit dafür eingesetzt wurden.

Gowdiak hat auf der JavaLand-Konferenz zuerst die neuerliche Lücke vorgestellt, auf der er diese Woche einen Keynote-Vortrag gehalten hat. Dessen Folien hat der Sicherheitsexperte nun ebenfalls zur Verfügung gestellt. Gowdiaks Fazit war, dass Oracle, aber auch viele andere Unternehmen wie Apple und IBM, in Sicherheitsbelangen eine fragwürdige Kommunikationspolitik pflegen und einen stiefmütterlichen Umgang mit Sicherheit haben.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE