09.02.2016 11:36

(Not only) Oracle Java Windows installer vulnerable

Oracle hat einen Out-of-Band Patch für Java 6, 7 und 8 für Windows veröffentlicht, mit dem eine Sicherheitslücke im Installationsprozess geschlossen wird. Es sind dazu bereits zahlreiche Medienberichte erschienen, in denen allerdings häufig die Tatsache ausser acht gelassen wird, dass es sich hier nicht um eine Java-spezifische Schwachstelle handelt.

Das Problem - Stichwort "Binary Planting" - ist bereits seit Jahren bekannt, und besteht darin, dass viele Windows (executable) Installer in ihrem "Anwendungsverzeichnis" nach benötigten DLLs suchen. Bei Software, die mit einem Webbrowser heruntergeladen wurde, ist dieses "Application Directory" in der Regel der "Downloads"-Ordner. Gelingt es einem Angreifer, den Benutzer zum Download einer manipulierten DLL mit dem "richtigen" Namen zu bringen, so wird ein Installer, der nach einer Library dieses Namens sucht, diese laden und ausführen.

Der Sicherheitsforscher Stefan Kanthak beschreibt das Problem (für die Installer von Oracle Java und Virtualbox) auf SecurityFocus. Zahlreiche weitere Beispiele für von Kanthak entdeckte verwundbare Installer finden sich auf Packet Storm. Einem Bericht auf SecurityWeek.Com zufolge sind zahlreiche namhafte Softwarehersteller betroffen, von denen viele das Problem (noch) nicht behoben haben.

Als Schutzmassnahme empfiehlt ein Artikel auf CIO einen "aufgeräumten" "Downloads"-Ordner, Oracle selbst weist darauf hin, dass Java nur von Java.com bezogen sollte.

Generell ist es ratsam, Programme nur aus vertrauenswürdigen Quellen zu installieren, sowie nicht mehr benötigte Software zu deinstallieren - das gilt auch für Oracle Java.

Autor: Stephan Richter