Schwere Sicherheitslücke in Oracle Java 7
Der renommierte Sicherheitsexperte Brian Krebs berichtet in seinem Blog Krebsonsecurity über einen Exploit für eine gefährliche Lücke in allen Oracle Java Ausgaben der Version 7 bis hin zu Update 10. Die Lücke wird bereits aktiv von Cyber-Kriminellen ausgenutzt – auch nach dem neuesten Update.
Der Exploit für die Zero-Day-Lücke, die von den Sicherheitsexperten von AlienVault Labs mittlerweile durch den Nachweis der Code-Einschleusung in ein voll gepatchtes Windows-System mit Java 7 Update 10 bestätigt wurde, ist bereits in den beiden bekanntesten Cracker-Tools Blackhole und Nuclear Pack eingebaut worden.
Die Verbreitung über die Cracker-Tools wird vermutlich dafür sorgen, dass sich der Exploit explosionsartig verbreitet und zudem sehr einfach auf Webseiten integrierbar ist. Deshalb rät Krebs, das Java-Applet im jeweils genutzten Browser zu deaktivieren. Wie das in die einzelnen Browser erreicht werden kann, hat Krebs ebenfalls in seinem Blog dargelegt. Ergänzend dazu ist zu sagen, dass in Java 7 Update 10 ein vereinfachter Mechanismus zum Deaktivieren von Java vorhanden ist.
Es ist bisher kein Patch für die Lücke vorhanden. Oracle, das im Jahr 2012 schon einige gefährliche Lücken in Java reparieren musste, ist dafür bekannt, selten Patches außerhalb des üblichen Zyklus' herauszugeben. Der nächste Oracle Patchday ist der 15. Januar, der darauf folgende der 16. April 2013. In der Vorankündigung auf den Patchday in der nächsten Woche ist noch kein Patch für Java zu finden. Noch bleibt jedoch zu hoffen, dass bis zum 15. Januar ein entsprechender Patch vorliegt und im Zuge des Patchdays veröffentlicht wird.
Oracle hat jetzt den Umfang des für Dienstag avisierten Patch-Pakets mit 86 Patches angegeben. Die Java-Lücke bleibt weiterhin offen.
Sowohl Mozilla als auch Apple haben darauf jetzt reagiert. In Firefox ist ab Version 17 für alle Plattformen das Java-Plug-in abgeschaltet. Somit werden Nutzer beim Betreten einer Seite gefragt, ob sie mit der Ausführung des Plug-ins für diese Seite einverstanden sind.
Auch Apple hat das Java-Plug-in für den Mac deaktiviert. Wir werden über den weiteren Verlauf berichten.
Oracle hat die schwere Lücke in Java 7 durch Update 11 außerhalb des morgigen Oracle-Patchday geschlossen. Weiterhin wird ab sofort das Sicherheits-Level für unsignierte Java-Web-Apps von mittel auf hoch gesetzt. Damit werden solche Web-Apps nur noch nach einer Nachfrage auf Bestätigung des Nutzers ausgeführt. Ein sofortiges Update ist dringend empfohlen.
Während in Deutschland das BSI seine Warnung wegen der Lücke in Java mittlerweile zurückgezogen hat, hält die amerkanische Behörde für Computersicherheit US-Cert ihre Warnung vor dem Java-Browser-Plug-in aufrecht. Einerseits ist man dort der Ansicht, das Plug-in solle grundsätzlich deaktiviert sein, andererseits ist ein Bericht der Sicherheitsforscher der Firma Immunity veröffentlicht worden, der behauptet, Oracle habe mit dem Patch am Wochenende lediglich eine von zwei Lücken geschlossen. Sobald ein neuer Exploit auftaucht, würde die Lücke weiter ausgenutzt.
Der besagte Exploit ließ anscheinend nicht lange auf sich warten. Wie das Sicherheitsblog KrebsOnSecurity berichtet, wurde ein Exploit in einem einschlägigen Forum exklusiv an zwei Personen für mindestens je 5.000 US-Dollar verkauft. Der erneute Exploit nutzt eine Lücke in Java 7 Update 11, welches eigentlich die vorherige Verwundbarkeit beseitigen sollte.
Downloads
-
Java SE Runtime Environment Download
3,5 SterneJava ist eine Plattform zum Ausführen von Java-Anwendungen. Inklusive Browser-Plugin für Java-Applets.
- Version 8.0 Update 411 Deutsch
Fabian und 
Jan-Frederik