Erneute Schwachstelle in Oracle Java 7

18. Jänner 2013

Nur vier Tage, nachdem Oracle mit Java 7u11 kritische Fehler gefixt hat, wurde die nächste Schwachstelle in Java 7 bestätigt. Es ist davon auszugehen, dass diese bereits für Angriffe auf Webbrowser eingesetzt wird. Eine Reaktion von Oracle steht noch aus.

Das Java Browser-Plugin war schon 2012 der häufigste Grund für die Infektion von PCs. Die aktuelle Welle an weiteren Sicherheitsproblemen zwingt CERT.at, jetzt nicht nur vor der derzeit verwundbaren Version von Java zu warnen, sondern generell die großflächige Verbreitung und Aktivierung des Java-Plugins in Frage zu stellen.

Beschreibung

Besucht ein User eine speziell präparierte Webseite ("Exploit-pack") mit aktiviertem Java-Plugin, so lädt diese Schadcode nach und führt diesen aus. Der Exploit-Code wird bereits in Untergrund-Foren gehandelt. Es steht zu erwarten, dass er bald auch in die üblichen Exploit-Packs integriert wird.

Auswirkungen

Da der Angreifer dadurch potentiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Betroffene Systeme

Den aktuellen Meldungen nach ist Java 7 bis incl. Update 11 betroffen. Ob das auch für Java 6 gilt, ist uns derzeit nicht bekannt.

Da die Java Runtime auf diversen Plattformen läuft, ist das Problem nicht auf Windows-PCs beschränkt, sondern trifft genauso auch Oracles Java-Browserplugins unter Apple OSX und Linux.

Abhilfe

  • Die sicherste Möglichkeit, einen PC/Mac vor dieser Serie an Schwachstellen in der Java Runtime zu schützen, ist eine komplette Deinstallation von Java.
  • Benötigt ein lokales Programm Java (etwa lokale Business-Applikationen, OpenOffice, diverse Fotobuch-Software, ...), dann kann man immer noch das Browser-Plugin nicht aktivieren. Detaillierte Hinweise und Anleitungen dazu findet man bei:
  • Wenn man auf das Java-Plugin wirklich angewiesen ist, so gibt es zwei Varianten, es trotzdem einigermaßen sicher zu verwenden:
    • Zwei-Browser Strategie: Ein Browser (etwa Chrome) wird für das normale Webbrowsen im Internet benutzt, in diesem wird das Java-Applet deaktiviert. Braucht man -- etwa für firmeninterne Applikationen -- das Plugin, so nimmt man dafür einen anderen Browser (etwa den IE), in dem das Plugin aktiv ist.
    • Manuelle Freigabe: Manche Browser lassen sich (zum Teil mittels Erweiterungen) so konfigurieren, dass sie Java-Applets erst nach einer Nachfrage beim Benutzer starten.
  • Im Kontext von Firmennetzen kann man sich auch überlegen, wie sehr man nicht am Proxy/ContentFilter den Download von Java-Applets generell unterbindet. Eine Whitelist von unbedingt nötigen externen Seiten, die Java brauchen, lässt sich dort auch meist einrichten.

Kontext

In der internationalen IT Sicherheits-Community hat sich ein Konsens herausgebildet, dass es nicht mehr tragbar ist, dass das Java-Applet per Default in allen Browsern aktiv ist. Siehe dazu etwa:

US-CERT
This and previous Java vulnerabilities have been widely targeted by attackers, and new Java vulnerabilities are likely to be discovered. To defend against this and future Java vulnerabilities, consider disabling Java in web browsers until adequate updates are available. As with any software, unnecessary features should be disabled or removed as appropriate for your environment.
CERT-CC
Unless it is absolutely necessary to run Java in web browsers, disable it as described below, even after updating to 7u11. This will help mitigate other Java vulnerabilities that may be discovered in the future.
BSI (noch bzgl. des letzten Bugs)
Das BSI steht bezüglich der aktuellen Schwachstelle in Kontakt mit der Firma Oracle, dem Hersteller der Java-Laufzeitumgebung. Ein Sicherheitsupdate des Herstellers liegt derzeit nicht vor. Daher rät das BSI allen Internetnutzern zu prüfen, ob Java für die Arbeit am Rechner tatsächlich benötigt wird. Ist dies nicht der Fall, sollte Java über die Systemsteuerung deinstalliert werden, bis ein Sicherheitsupdate vorliegt. Wird Java außerhalb des Browsers dringend benötigt, sollten zumindest die Java Browser-Plugins für das Surfen im Internet deaktiviert und nur zeitweise für die Durchführung einzelner Anwendungen aktiviert werden.
Infoworld
Gruman suggests one step in weaning our current operating systems and apps off Java is for the feds to designate non-Java-free operating systems as noncompliant with security standards for gaining or renewing government contracts. "Loss of income is the motivation that vendors and developers need," he writes. Hit 'em in the bottom line. We can't afford to tolerate the Java problem anymore.

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Java 7 Update 11 confirmed to be vulnerable
http://seclists.org/fulldisclosure/2013/Jan/142
New Java Exploit Fetches $5,000 Per Buyer
https://krebsonsecurity.com
Yet ANOTHER Java zero-day claimed - but this time you're laughing, right?
http://nakedsecurity.sophos.com/