Oracle hat bei Patch in Java SE gepfuscht
Die nun wieder aufgetauchte Lücke wurde eigentlich schon im Herbst 2013 geschlossen. Jedoch ist der Patch unvollständig und ermöglicht weiterhin einen Sandbox-Bypass. Verwundbar sind demnach die Versionen 7 Update 87 und 8 Update 74. Überdies soll sich das Leck auch in aktuellen Builds von Java 9 finden.
Der Chef des polnischen Sicherheitsunternehmens Security Explorations, Adam Gowdiak, hat Einzelheiten zu einer Sicherheitslücke in Java SE veröffentlicht. Dabei handelt es sich um eine Anfälligkeit, die Oracle eigentlich schon im September 2013 beseitigt hatte. Die Aktualisierung soll allerdings keine Wirkung zeigen. Aus diesem Grund lässt sich Code offenbar auch außerhalb der Java-Sandbox ausführen.
“Wir haben herausgefunden, dass sich der Oracle-Patch leicht umgehen lässt”, schreibt Gowdiak in einem Beitrag auf Full Disclosure. Lediglich vier Zeichen des ursprünglich im Oktober 2013 freigegebenen Angriffscodes müssten hierzu modifiziert werden. Überdies müsse ein HTTP-Server dazu gebracht werden, auf eine erste Anfrage nach einer gewissen Java-Klasse mit einer “404”-Fehlermeldung (nicht gefunden) zu reagieren.
Security Explorations bietet den überarbeiteten Angriffscode ebenso zum Download an wie eine detaillierte Beschreibung der Sicherheitslücke (PDF). Getestet wurde er mit Java SE 7 Update 97, Java SE 8 Update 74 und auch dem Early Access Build 108 von Java SE 9. Gowdiak verweist aber darauf, dass die Click2Play-Funktion, die vor der Ausführung von Java-Applets die Genehmigung eines Nutzers einholt, nicht beeinträchtigt ist.
Das Unternehmen hat Oracle vorab nicht über den fehlerhaften Patch informiert. Als Grund dafür nennt es eine neue Richtlinie für die Offenlegung von Sicherheitslücken. “Defekte Fixes werden nicht mehr toleriert. Wenn wir auf einen kaputten Fix für eine Anfälligkeit treffen, die wir bereits dem Hersteller gemeldet haben, wird sie ohne Vorankündigung öffentlich gemacht”, so Gowdiak weiter.
Darüber hinaus bemängelt Gowdiak Oracles Bewertung der Schwachstelle. Die Firma habe im Oktober 2013 unterstellt, dass die Lücke mit der Kennung CVE-2013-5838 nur mithilfe von Java-Web-Start-Anwendungen und Java-Applets ausgenutzt werden könne. “Wir haben bestätigt, dass ein Exploit auch in einer Serverumgebung sowie mit der Google App Engine für Java möglich ist.”
Security Explorations macht schon seit Anfang 2012 auf Sicherheitslücken in Java aufmerksam. Das Unternehmen wirft Oracle zudem vor, Patches nicht zeitnah bereit zu stellen. Bei einer Präsentation auf der JavaLand-Konferenz in Brühl (PDF) in der vergangenen Woche berichtete er von einem im September 2012 gemeldeten Fehler, den Oracle erst im Januar 2013 beseitigt habe. Dabei habe das Unternehmen lediglich den von Security Explorations vorgeschlagenen Fix implementiert.
[mit Material von Stefan Beiersmann, ZDNet.de]