Skip to content

Neues zu den 0-Day-Schwachstellen in Java

Geschrieben von Carsten Eilers am um 23:53

Es gibt einige Neuigkeiten zu den 0-Day-Schwachstellen in Java. Die schlechteste zuerst: Das am 30.8. veröffentlichte Update enthält eine neue Schwachstelle

Patch reisst neue Lücke auf

Am Donnerstag hat Oracle vier oder fünf Schwachstellen behoben. Wie viele genau, ist nicht eindeutig feststellbar, aber eigentlich auch uninteressant. Das Problem mit der Zählung ergibt sich aus der Tatsache, dass die beiden aktuellen 0-Day-Schwachstellen unter einer gemeinsamen CVE-ID erfasst wurden, da sie anfangs als eine Schwachstelle angesehen wurden: CVE-2012-4681. Das widerspricht zwar der Anforderung, dass CVE-IDs eindeutig sind, kommt bei miteinander verknüpften Schwachstellen aber schon mal vor. Oracle hat jedenfalls vier CVE-IDs, darunter CVE-2012-4681, behoben.

Dabei hat man aber eine neue Schwachstelle erzeugt: Adam Gowdiak hat auf der Mailingliste Bugtraq gemeldet, dass das Update zu einer neuen Schwachstelle geführt hat, die zusammen mit weiteren, von ihm zuvor entdeckten Schwachstellen wieder den Ausbruch aus der Sandbox erlaubt. Er hat einen Bericht samt Proof-of-Concept an Oracle gesendet, öffentlich dokumentieren wird er die Schwachstelle aber erst, wenn Oracle einen Patch veröffentlicht hat.

Da die Schwachstelle bisher nicht öffentlich bekannt ist, gibt es auch keine Angriffe darüber. Dass allein die Information, dass es sie gibt, dazu führt, dass sie von Dritten gefunden und ausgenutzt wird, kann man aber nie ausschließen. Es wäre nicht das erste Mal, dass allein die allgemeine Ankündigung einer Schwachstelle zu ihrer Aufdeckung führt. Frei nach dem Motto "Wenn bekannt ist, dass etwas geht, kommt früher oder später auch heraus, wie es geht."

Die Geschichte der Schwachstellen

Adam Gowdiak war es auch, der die nun als 0-Day-Schwachstellen berühmt gewordenen Schwachstellen entdeckt und im April vertraulich an Oracle gemeldet hat. Eine Übersicht über die Entwicklung seit der Meldung der Schwachstellen an Oracle gibt es auf der Website seines Unternehmens Security Explorations.

Am letzten regulären Patchday am 12. Juni wurden lediglich zwei der 31 von Security Explorations an Oracle gemeldeten Schwachstellen behoben. Einige davon betreffen allerdings nur Apples Implementierung von Java, so dass letztlich im Juli noch 25 Schwachstellen von Oracle zu korrigieren waren. Einige davon sollen am nächsten regulären Patchday am 16. Oktober behoben werden.

Mit der nun gemeldeten neuen Schwachstelle gibt es allein von Adam Gowdiak 26 offene Schwachstellen in Java. Wie viele weitere von anderen Forschern entdeckte und bisher nicht gepatchte Schwachstellen es noch gibt, möchte man da gar nicht wissen, oder?

Neue Angriffe über die behobenen Schwachstellen

Es gibt weitere Angriffe über die nun behobenen 0-Day-Schwachstellen:

Intego berichtet, dass der Backdoor-Trojaner Tsunami für Mac OS X angeblich über die 0-Day-Schwachstellen verbreitet wird. Handfeste Beweise hat man jedoch nicht. Vielleicht wollte man auch nur die gute Gelegenheit nutzen, Werbung für den eigenen Virenscanner zu machen.

Bestätigt ist dagegen eine Verbindung zum Advanced Persistent Threat "Nitro". Symantec und Trend Micro berichten, dass ein Exploit für die Schwachstellen auf verschiedenen Websites gespeichert wurde, auf die die Opfer danach per E-Mail gelockt wurden.

Sophos berichtet ebenfalls über Angriffe via E-Mail. Als "Köder" für die in den Niederlanden entdeckten Angriffe dient eine angebliche Erhöhung der Umsatzsteuer.

Dass das "Black Hole" Exploit-Kit mit dem neu aufgenommen Java-Exploit bereits eingesetzt wird, zeigen zwei Angriffe:

  • Russ McRee vom ISC berichtet über E-Mails mit dem Subject
    "Important Changes to Microsoft Services Agreement and Communication Preferences",
    mit denen die Empfänger auf eine mit "Black Hole" präparierte Seite gelockt werden sollen.
  • Websense berichtet über angebliche Amazon-Bestellbestätigungen mit dem Subject
    "You Order With Amazon.com",
    die die Empfänger ebenfalls auf mit "Black Hole" präparierte Seiten locken sollen. Ob der Schreibfehler im Subject von den Angreifern oder Websense stammt, ist nicht bekannt.

Update installieren, Java-Plug-In ausgeschaltet lassen

Wenn Sie es noch nicht getan haben, sollten Sie das Java-Update zügig installieren. Wenn Sie als Workaround das Java-Plug-In im Webbrowser ausgeschaltet haben und Java nicht zwingend brauchen, sollten Sie das Plug-In nicht wieder aktivieren. Java wird immer wieder als Einfallstor für Angriffe genutzt, und die nächste 0-Day-Schwachstelle kommt bestimmt.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Angriffe über zwei 0-Day-Schwachstellen in Java

Vorschau anzeigen
Zur Zeit gibt es zwei 0-Day-Schwachstellen in Java, ein Exploit befindet sich bereits im Exploit-Kit "Black Hole", und Angriffe darüber wurden auch schon gemeldet. Falls Sie das Java-Plug-In ihres Browsers noch nicht deaktiviert haben, wird

Dipl.-Inform. Carsten Eilers am : Java 0-Day-Schwachstelle nach 3 Tagen behoben

Vorschau anzeigen
Es gibt mal wieder eine 0-Day-Schwachstelle in Java. Oder besser: Es gab sie. Denn sie wurde von Oracle bereits geschlossen - nach nur 3 Tagen! Kommen wir also zu einem Drama in 4 AktenTagen: 10. Januar: Exploit "in the wild" und vielen Ex

Dipl.-Inform. Carsten Eilers am : Ein unerwartetes Java-Update

Vorschau anzeigen
Oracle hat mehr oder weniger "heimlich, still und leise" ein neues Update für Java 7 veröffentlicht, genauer: Die für den 19. Februar geplante Veröffentlichung des nächsten regulären Updates vorgezogen - da es auf eine