Forscher finden kritische Sicherheitslücke in Java 7-Patch-Stunden nach Veröffentlichung

Sicherheitsforscher der Sicherheitsfirma Security Explorations aus Polen behaupten, eine Sicherheitslücke in dem am Donnerstag veröffentlichten Java 7 Sicherheitsupdate entdeckt zu haben, mit der sie die Java Sandbox umgehen und beliebigen Code ausführen können auf dem zugrunde liegenden System.

Security Explorations hat am Freitag einen Bericht über die Schwachstelle an Oracle zusammen mit einem Proof-of-Concept-Exploit geschickt, sagte Adam Gowdiak, der Gründer und CEO der Sicherheitsfirma am Freitag per E-Mail.

Das Unternehmen tut dies nicht Englisch: bio-pro.de/en/region/stern/magazin/…3/index.html Geplante Veröffentlichung von technischen Details zu dieser Sicherheitslücke, solange Oracle nicht darauf reagiert, so Gowdiak.

[Weitere Informationen: So entfernen Sie Malware von Ihr Windows-PC]

Oracle hat am Donnerstag seinen regulären viermonatigen Patch-Zyklus beendet und Java 7 Update 7 veröffentlicht, ein Notfall-Sicherheitsupdate, das drei Schwachstellen behebt, darunter zwei, die von Angreifern ausgenutzt wurden, um Computer mit Malware zu infizieren Letzte Woche.

Java 7 Update 7 hat auch ein "Sicherheitsproblem" gepatcht, das laut Oracle nicht direkt ausnutzbar war, aber dazu verwendet werden könnte, die Auswirkungen anderer Sicherheitslücken zu verstärken.

Das Patching Diese "Sicherheitsfrage", die Gowdiak als "Ausnutzungsvektor" bezeichnet, machte alle Java Virtual Machine (JVM) -Proof-of-Concept (PoC) -Sicherheits-Bypass-Exploits, die das polnische Sicherheitsunternehmen zuvor an Oracle übermittelt hatte , unwirksam.

Laut Gowdiak haben Security Explorations im April 29 vertrauliche Schwachstellen in Java 7 an Oracle gemeldet, darunter die beiden, die nun von Angreifern aktiv ausgenutzt werden.

Die Berichte wurden von insgesamt 16 Beweismitteln begleitet. von-conce pt nutzt diese Sicherheitsanfälligkeiten aus, um die Java-Sandbox vollständig zu umgehen und beliebigen Code auf dem zugrunde liegenden System auszuführen.

Die Entfernung der Methoden getField und getMethod aus der Implementierung der Klasse sun.awt.SunToolkit in Java 7 Update 7 hat alle deaktiviert von PoC-Exploits der Sicherheitsexplorationen, sagte Gowdiak.

Dies geschah jedoch nur, weil der "Exploitations-Vektor" entfernt wurde, nicht weil alle von den Exploits betroffenen Schwachstellen gepatcht wurden, sagte Gowdiak.

Die neue von Security entdeckte Schwachstelle Explorationen in Java 7 Update 7 können mit einigen Schwachstellen kombiniert werden, die von Oracle nicht behoben wurden, um eine vollständige JVM-Sandbox-Umgehung zu erreichen.

"Nachdem wir festgestellt hatten, dass unsere vollständigen Java Sandbox-Umgehungscodes nach der Aktualisierung nicht mehr funktionierten Ich habe noch einmal auf POC-Codes geschaut und angefangen, über die möglichen Wege nachzudenken, wie man das letzte Java-Update wieder vollständig durchbrechen kann ", sagte Gowdiak. "Eine neue Idee kam, es wurde verifiziert und es stellte sich heraus, dass dies alles war."

Gowdiak weiß nicht, wann Oracle die verbleibenden Sicherheitslücken, die von Security Explorations im April gemeldet wurden, oder die neue Sicherheitsfirma beheben will am Freitag.

Es ist nicht klar, ob Oracle im Oktober ein neues Java-Sicherheitsupdate veröffentlichen wird, wie es zuvor geplant war. Das Unternehmen hat nicht sofort eine Anfrage für einen Kommentar zurückgeschickt.

Sicherheitsforscher warnten immer, dass, wenn die Hersteller zu viel Zeit brauchen, um eine gemeldete Sicherheitslücke zu beheben, sie in der Zwischenzeit von den bösen Jungs entdeckt werden könnten, wenn sie es nicht schon wissen

Es ist mehrfach vorgekommen, dass verschiedene Bug-Jäger die gleiche Schwachstelle im selben Produkt unabhängig voneinander entdeckt haben, und dies könnte auch bei den beiden aktiv ausgenutzten Java-Schwachstellen der Fall gewesen sein, die von Java 7 Update angesprochen wurden 7.

"Unabhängige Entdeckungen können niemals ausgeschlossen werden", sagte Gowdiak. "Dieses spezielle Problem [die neue Sicherheitslücke] könnte jedoch ein wenig schwieriger zu finden sein."

Basierend auf der Erfahrung von Security Explorations-Forschern mit Java-Schwachstellen hat Java 6 eine höhere Sicherheit als Java 7. "Java 7 war überraschend viel einfacher für uns", sagte Gowdiak. "Für Java 6 ist es uns nicht gelungen, eine vollständige Sandbox-Kompromittierung zu erreichen, mit Ausnahme des in der Apple Quicktime für Java-Software gefundenen Problems."

Gowdiak hat wiederholt, was viele Sicherheitsforscher zuvor gesagt haben: Wenn Sie nicht brauchen Java, deinstallieren Sie es von Ihrem System.