Schwachstelle in Mac OS X erlaubte Java-Angriffe ohne Java-Plug-In
Java im Browser ist gefährlich. Darum sollte man es ausschalten, wenn man es nicht braucht. Denn was nicht aus dem Browser heraus erreichbar ist, kann auch nicht über eine Drive-by-Infektion angegriffen werden. Im Fall von Mac OS X 10.7 und 10.8 reichte das Ausschalten von Browser im Java aber nicht aus, um Angriffe zu verhindern, wie jetzt im Rahmen eines Updates heraus kam.
Apple meint(e): "Java ist vertrauenswürdig"
In Mac OS X 10.8.3 und mit dem Security Update 2013-001 wurde unter anderem die Schwachstelle mit der ID CVE-2013-0967 behoben, deren Beschreibung in der CVE-Datenbank von MITRE folgendermaßen lautet:
"CoreTypes in Apple Mac OS X before 10.8.3 includes JNLP files in the list of safe file types, which allows remote attackers to bypass a Java plug-in disabled setting, and trigger the launch of Java Web Start applications, via a crafted web site."
Bei Apple lautet die Beschreibung
"CoreTypes
Available for: OS X Lion v10.7 to v10.7.5, OS X Lion Server v10.7 to v10.7.5, OS X Mountain Lion v10.8 to v10.8.2
Impact: Visiting a maliciously crafted website could allow a Java Web Start application to be launched automatically even if the Java plug-in is disabled
Description: Java Web Start applications would run even if the Java plug-in was disabled. This issue was addressed by removing JNLP files from the CoreTypes safe file type list, so the Web Start application will not be run unless the user opens it in the Downloads directory.
CVE-ID
CVE-2013-0967"
Keine Java-Schwachstelle, sondern eine Fehleinschätzung
Die Ursache der Schwachstelle liegt also nicht in Java selbst, sondern in
Apples Einschätzung, das Öffnen welcher Dateien ungefährlich
ist. In Safari gibt es die Option
"Sichere" Dateien nach dem Laden öffnen
mit der Erklärung
"Sichere" Dateien sind beispielsweise Filme,
Bilder, Sounds, PDFs und Textdokumente und Archive.
Viele von Ihnen werden sich sicher sofort am "PDFs" in der Auflistung stören, denn zumindest wenn man den Adobe Reader benutzt sind PDFs viel zu oft alles andere als "sicher". Und auch Archive sind nicht wirklich sicher. Selbst eine "harmlose" Archivbombe 42.zip, die "nur" mal eben die Festplatte füllt, möchte man nicht einfach automatisch vom Browser öffnen lassen. Von Archiven mit Schadsoftware darin ganz zu schweigen.
Nicht nur "eine", sondern eine krasse Fehleinschätzung
Aber kommen wir noch mal zur aktuellen Schwachstelle. Die ist entstanden, weil man bei Apple JNLP-Dateien für harmlos bzw. "sicher" gehalten hat. Beim automatischen Öffnen durch Java Web Start sorgen diese Dateien im Java Network Launching Protocol Format dafür, dass die darin aufgeführten JAR-Dateien geladen und gestartet werden. Das man so etwas eigentlich nicht will, sollte klar sein. Ich wüsste zu gerne, wer bei Apple auf die Idee gekommen ist, diese Dateien automatisch öffnen zu lassen.
Spätestens mit der ersten Java-Schwachstelle, die den Ausbruch aus der
Sandbox erlaubt, sollte klar gewesen sein, dass man JNLP-Dateien nicht als
sicher betrachten darf. Werfen wir mal einen Blick zurück in die
Geschichte: Die erste Java-Schwachstelle, die den Ausbruch aus der
Sandbox erlaubte, war laut der CVE-Datenbank (Suche nach Java
und Sandbox
)
CVE-2000-1099.
Die erste offizielle Mac-OS-X-Version erschien 2001. Meiner Ansicht nach
waren JNLP-Dateien also von der ersten Mac-OS-X-Version an niemals sicher.
Mal ganz davon abgesehen, dass ich eine Datei, die Java-Code nachlädt und
startet, prinzipiell nicht automatisch öffnen würde.
Aber es wird noch besser: Laut der Beschreibung von Apple sind nur Mac OS X 10.7 und 10.8 betroffen, die Schwachstelle wurde also erst in der 2011 erschienenen Version 10.7 implementiert. Und 2011 war schon bekannt, dass sich die Cyberkriminellen zunehmend Java zuwenden. Und trotzdem hielt man JNLP für sicher?
"Sichere" Dateien öffnen - Nein Danke!
Generell ist es eine sehr gute Idee, die in der Defaulteinstellung eingeschaltete Option auszuschalten. Ich habe das schon von Anfang an so gemacht (meine erste produktiv eingesetzte OS-X-Version war die 10.2) und ärgere mich nach jedem System-Update bzw. bei jedem neuen Rechner, dass ich diese unsichere Einstellung erneut korrigieren muss und Apple nicht endlich einen sicheren Default-Wert verwendet. Auslöse für meine Entscheidung waren zum einen meine prinzipielle Einstellung "Was auf meinem Rechner geöffnet wird, entscheide immer noch ich", zum anderen Schwachstellen, über die damals schon Programme gestartet werden konnten. Wenn ich mich recht erinnere, gab es damals ein AutoRun-ähnliches Problem mit Disk-Images, die automatisch geöffnet (d.h. gemountet) wurden und von denen dann Programme automatisch gestartet werden konnten.
Das die Funktion ""Sichere" Dateien nach dem Laden öffnen"
heutzutage nicht öfter als Einfallstor genutzt wird, ist eigentlich
ein Wunder. Das Öffnen "sicherer" Dateien ist per Default und damit
wohl auf den meisten Macs eingeschaltet, und wie Sean Sullivan von F-Secure
festgestellt hat,
wurden allein im aktuellen Sicherheitsupdate mehrere Schwachstellen in
Komponenten behoben, die sich über diese Funktion ausnutzen
ließen: In ImageIO (Bilder); IOAcceleratorFamily (Bilder); PDFKit
(PDF); QuickTime (Filme). Als beachten Sie den guten Rat von Peter Lustig
aus den Löwenzahn-Sendungen: "Ausschalten!. Wo? Im
Reiter "Allgemein" in Safari. Das Häkchen vor ""Sichere" Dateien
nach dem Laden öffnen"
muss weg.
Trackbacks