Sicherheitslücke in der neuesten Java-Version von Oracle
Am 19. Februar hatte die Firma Oracle zuletzt Patches für Sicherheitslücken in Java veröffentlicht. Jetzt wurden erneut Schwachstellen im Java Browser Plug-In des Java SE 7 Update 15 entdeckt, die Oracle mittlerweile auch bestätigt hat. Darüber hinaus werden Exploits der Lücken in Java SE 7 Update 11 aktiv ausgenutzt.
Erneut war es Adam Gowdiak und dessen Firma Security Explorations, die die Lücken an Oracle meldete. Die Firma war für die Aufdeckung fast sämtlicher Verwundbarkeiten von Java der letzten zwölf Monate verantwortlich. Die mit Issue 54 and 55 gekennzeichneten Probleme wurden von Gowdiak am 25. Februar an Oracle übermittelt und mit einem Proof of Concept belegt. Oracle konnte den Report mittlerweile nachvollziehen und sagte zu, die Schwachstelle schnell zu beheben.
Werden die beiden Lücken 54 und 55 in Kombination ausgenutzt, so kann damit die Java-Sandbox umgangen und Schadcode injiziert werden. Diese Vorgehensweise fand vermutlich bei den Angriffen auf Firmen wie Microsoft, Apple, Facebook, Twitter und zwei US-amerikanische Tageszeitungen Anwendung, über die letzte Woche berichtet wurde. Die Issues 54 und 55 nutzen laut Gowdiak „das Java Reflection API in interessanter Weise aus“. Mehr wollte er zu diesem frühen Zeitpunkt nicht sagen, sah „den Ball aber klar in Oracles Spielfeld“.
Die Firma Rapid 7, die auch das Metasploit-Framework betreut, warnte derweil vor einem Exploit für die Lücken in Java SE 7 Update 11, die Oracle kürzlich geschlossen hatte. Der Exploit, der mittlerweile in diversen Hackertools wie Cool EK und Popads integriert wurde, wird aktiv ausgenutzt.
Adam Gowdiak und zunehmend mehr Experten raten angesichts der nicht abreißenden Folge von sicherheitsrelevanten Vorfällen bei Java, die in jedem Fall recht schnell auch aktiv ausgenutzt wurden, Java, wenn möglich, zu deaktivieren. Ist das nicht machbar, sollte darauf geachtet werden, dass Updates sehr zeitnah eingespielt werden. Der nächste offizielle Oracle-Patchday ist der 16. April. Sollten die neuen Verwundbarkeiten aktiv ausgenutzt werden, könnte sich Oracle dazu entschließen, die Lücken vorher zu reparieren.