Schwachstelle in Mac OS X erlaubte Java-Angriffe ohne Java-Plug-In

Geschrieben von Carsten Eilers am Montag, 18. März 2013 um 09:04

Java im Browser ist gefährlich. Darum sollte man es ausschalten, wenn man es nicht braucht. Denn was nicht aus dem Browser heraus erreichbar ist, kann auch nicht über eine Drive-by-Infektion angegriffen werden. Im Fall von Mac OS X 10.7 und 10.8 reichte das Ausschalten von Browser im Java aber nicht aus, um Angriffe zu verhindern, wie jetzt im Rahmen eines Updates heraus kam.

Apple meint(e): "Java ist vertrauenswürdig"

In Mac OS X 10.8.3 und mit dem Security Update 2013-001 wurde unter anderem die Schwachstelle mit der ID CVE-2013-0967 behoben, deren Beschreibung in der CVE-Datenbank von MITRE folgendermaßen lautet:

"CoreTypes in Apple Mac OS X before 10.8.3 includes JNLP files in the list of safe file types, which allows remote attackers to bypass a Java plug-in disabled setting, and trigger the launch of Java Web Start applications, via a crafted web site."

Bei Apple lautet die Beschreibung

"CoreTypes

Available for: OS X Lion v10.7 to v10.7.5, OS X Lion Server v10.7 to v10.7.5, OS X Mountain Lion v10.8 to v10.8.2

Impact: Visiting a maliciously crafted website could allow a Java Web Start application to be launched automatically even if the Java plug-in is disabled

Description: Java Web Start applications would run even if the Java plug-in was disabled. This issue was addressed by removing JNLP files from the CoreTypes safe file type list, so the Web Start application will not be run unless the user opens it in the Downloads directory.

CVE-ID

CVE-2013-0967"

Keine Java-Schwachstelle, sondern eine Fehleinschätzung

Die Ursache der Schwachstelle liegt also nicht in Java selbst, sondern in Apples Einschätzung, das Öffnen welcher Dateien ungefährlich ist. In Safari gibt es die Option
"Sichere" Dateien nach dem Laden öffnen
mit der Erklärung
"Sichere" Dateien sind beispielsweise Filme, Bilder, Sounds, PDFs und Textdokumente und Archive.

Viele von Ihnen werden sich sicher sofort am "PDFs" in der Auflistung stören, denn zumindest wenn man den Adobe Reader benutzt sind PDFs viel zu oft alles andere als "sicher". Und auch Archive sind nicht wirklich sicher. Selbst eine "harmlose" Archivbombe 42.zip, die "nur" mal eben die Festplatte füllt, möchte man nicht einfach automatisch vom Browser öffnen lassen. Von Archiven mit Schadsoftware darin ganz zu schweigen.

Nicht nur "eine", sondern eine krasse Fehleinschätzung

Aber kommen wir noch mal zur aktuellen Schwachstelle. Die ist entstanden, weil man bei Apple JNLP-Dateien für harmlos bzw. "sicher" gehalten hat. Beim automatischen Öffnen durch Java Web Start sorgen diese Dateien im Java Network Launching Protocol Format dafür, dass die darin aufgeführten JAR-Dateien geladen und gestartet werden. Das man so etwas eigentlich nicht will, sollte klar sein. Ich wüsste zu gerne, wer bei Apple auf die Idee gekommen ist, diese Dateien automatisch öffnen zu lassen.

Spätestens mit der ersten Java-Schwachstelle, die den Ausbruch aus der Sandbox erlaubt, sollte klar gewesen sein, dass man JNLP-Dateien nicht als sicher betrachten darf. Werfen wir mal einen Blick zurück in die Geschichte: Die erste Java-Schwachstelle, die den Ausbruch aus der Sandbox erlaubte, war laut der CVE-Datenbank (Suche nach Java und Sandbox) CVE-2000-1099. Die erste offizielle Mac-OS-X-Version erschien 2001. Meiner Ansicht nach waren JNLP-Dateien also von der ersten Mac-OS-X-Version an niemals sicher. Mal ganz davon abgesehen, dass ich eine Datei, die Java-Code nachlädt und startet, prinzipiell nicht automatisch öffnen würde.

Aber es wird noch besser: Laut der Beschreibung von Apple sind nur Mac OS X 10.7 und 10.8 betroffen, die Schwachstelle wurde also erst in der 2011 erschienenen Version 10.7 implementiert. Und 2011 war schon bekannt, dass sich die Cyberkriminellen zunehmend Java zuwenden. Und trotzdem hielt man JNLP für sicher?

"Sichere" Dateien öffnen - Nein Danke!

Generell ist es eine sehr gute Idee, die in der Defaulteinstellung eingeschaltete Option auszuschalten. Ich habe das schon von Anfang an so gemacht (meine erste produktiv eingesetzte OS-X-Version war die 10.2) und ärgere mich nach jedem System-Update bzw. bei jedem neuen Rechner, dass ich diese unsichere Einstellung erneut korrigieren muss und Apple nicht endlich einen sicheren Default-Wert verwendet. Auslöse für meine Entscheidung waren zum einen meine prinzipielle Einstellung "Was auf meinem Rechner geöffnet wird, entscheide immer noch ich", zum anderen Schwachstellen, über die damals schon Programme gestartet werden konnten. Wenn ich mich recht erinnere, gab es damals ein AutoRun-ähnliches Problem mit Disk-Images, die automatisch geöffnet (d.h. gemountet) wurden und von denen dann Programme automatisch gestartet werden konnten.

Das die Funktion ""Sichere" Dateien nach dem Laden öffnen" heutzutage nicht öfter als Einfallstor genutzt wird, ist eigentlich ein Wunder. Das Öffnen "sicherer" Dateien ist per Default und damit wohl auf den meisten Macs eingeschaltet, und wie Sean Sullivan von F-Secure festgestellt hat, wurden allein im aktuellen Sicherheitsupdate mehrere Schwachstellen in Komponenten behoben, die sich über diese Funktion ausnutzen ließen: In ImageIO (Bilder); IOAcceleratorFamily (Bilder); PDFKit (PDF); QuickTime (Filme). Als beachten Sie den guten Rat von Peter Lustig aus den Löwenzahn-Sendungen: "Ausschalten!. Wo? Im Reiter "Allgemein" in Safari. Das Häkchen vor ""Sichere" Dateien nach dem Laden öffnen" muss weg.

Carsten Eilers

Trackbacks

Trackback-URL für diesen Eintrag

Keine Trackbacks

Mo	Di	Mi	Do	Fr	Sa	So
← Zurück	April '24
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30