Löchrig, löchriger, Java: Exploit hebelt Update 11 von Java 7 aus

Java ist und bleibt ein Einfallstor für Angriffe: Security Explorations hat schon wieder eine Sicherheitslücke in Java 7 gefunden. Laut einem Eintrag auf Full Disclosure ist es möglich, die von Oracle mit dem kürzlich herausgebrachten Update für Java 7 eingeführte Sicherheitseinstellung zu umgehen.
Sie sollte eigentlich verhindern, dass unsignierter Java-Code im Hintergrund beziehungsweise ohne Zustimmung des Nutzers ausgeführt wird – tut sie aber laut dem polnischen Sicherheitsunternehmen nicht. Ihm gelang es, Schadcode einzuschleusen, indem unsignierte Java-Inhalte auf einer Website ausgeführt würden, schreibt Adam Gowdiak, Gründer von Security Explorations. “Wir haben herausgefunden, dass auf einem Windows-System unabhängig von den vier Einstellungsmöglichkeiten für die Sicherheitsebene unsignierter Java-Code erfolgreich ausgeführt werden kann.”
Und Gowdiak weiß wovon er spricht: Inzwischen hat seine Firma 53 Sicherheitslücken in Java 7 entdeckt und entwickelt sich damit allmählich zur externen Abteilung für Qualitätsmanagment von Oracle.
Die Sicherheitseinstellungen im Java Control Panel hatte Oracle im Oktober 2012 mit dem Update 10 für Java 7 eingeführt. Mit seiner Hilfe können die Stufen “niedrig”, “mittel (empfohlen)”, “hoch” und “sehr hoch” ausgewählt werden. “Sehr hoch” bedeutet eigentlich, dass unsignierte Anwendungen die Sandbox der Laufzeitumgebung nicht verlassen können.
Durch die Einstellung ‘hoch’ wird der Nutzer jedes Mal gewarnt, bevor eine unsignierte Applikation ausgeführt wird, um eine Ausnutzung im Hintergrund zu verhindern”, heißt es in den Versionshinweisen des Update 11. Das sollte theoretisch vor allen möglichen Bedrohungen schützen.
“Die Lücke 53 wurde erfolgreich in einer Umgebung mit dem jüngsten Java SE 7 Update 11 (JRE Version 1.7.0_11-b21) unter Windows 7 und mit der Einstellung ‘sehr hoch’ im Control Panel getestet”, ergänzte Gowdiak. Die kürzlich eingeführten “Verbesserungen” für die Sicherheit von Java 7 schützten keineswegs vor stillen Exploits.
[mit Material von Ben Woods, ZDNet.com]