Stabsstelle DV-Sicherheit der
Universit├Ąt Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1703

[Generic/Java] Schwachstelle in Java 7 Update 10 [UPDATE]
(2013-01-11 11:48:14.569145+00)

Quelle: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0422

Eine Schwachstelle in Oracle Java 7 bis einschließlich Update 10, ermöglicht einem Angreifer durch manipulierten Java-Code beliebigen Programmcode auf das beherbergende System zu schleusen und auszuführen. Ein entsprechendes Applet kann dabei z.B. über eine entsprechend hergerichtete Webseite oder eine E-Mail-Nachricht auf das Opfersystem transportiert werden. Derzeit sind noch keine Patches zur Behebung der Schwachstelle verfügbar. Es ist bereits entsprechender Exploitcode in Umlauf und es ist damit zu rechnen, dass Angriffe auf der Basis dieser Schwachstelle in kurzer Zeit massiv ansteigen werden. Da praktisch alle aktuellen Browser bei aktiviertem Java verwundbar sind, wird die Deaktivierung entsprechender Java-Plug-Ins bis zum Erscheinen entsprechender Patches dringend empfohlen. Man beachte, dass diese Schwachstelle nicht auf ein bestimmtes Wirtsbetriebssystem beschränkt ist. Sie kann z.B. als "Türöffner" genutzt werden und Code einschleusen, der betriebssystemspezifische Malware nachlädt.
UPDATE: Oracle hat Patches zur Behebung dieser Schwachstelle veröffentlicht. Dieses Update scheint jedoch eine ältere Schwachstelle nicht zu beheben, weshalb zunächst die empfohlenen Maßnahmen aufrecht erhalten werden sollten.

Inhalt

Zusammenfassung

Betroffene Systeme

Nicht betroffene Systeme

Plattform

Einfallstor

Angriffsvoraussetzung

Angriffsvektorklasse

Auswirkung

Typ der Verwundbarkeit

Gefahrenpotential


(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Eine Schwachstelle in Java 7 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des Benutzers ausgeführt, der die Java-Laufzeitumgebung gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.

Besondere Brisanz erhält die Schwachstelle durch zwei Eigenschaften, die typische Java-Umgebungen besitzen:

  1. Integration in Webbrowser: Java kann als Plug-In in die gängigsten Webbrowser integriert werden und wird in den meisten Fällen bereits vorinstalliert ausgeliefert. In Webseiten enthaltener Java-Code wird bei Aufruf durch den Browser automatisch ausgeführt. Je nach (ggf. möglicher) Sicherheitseinstellung wird der Benutzer dabei nicht explizit vorher um eine Bestätigung gebeten.
  2. Plattformunabhängigkeit: Java ist plattormunabhängig. Code ist in Java-Umgebungen auf verschiedenen Betriebssystemen lauffähig.

In einem Angriffsszenario sorgt Eigenschaft 1. für eine sehr leichte Ausnutzbarkeit. Es ist ausreichend, entsprechenden Code auf einer Seite zu platzieren und darauf zu warten, dass ein Benutzer mit einer verwundbaren Java-Umgebung die Seite aufruft. Eigenschaft 2. kann dazu ausgenutzt werden, Malware für verschiedene Plattformen zu entwickeln und sie über denselben Java-Code in verwundbare Systeme zu schleusen. In einem solchen Szenario würde bei Aufruf einer entsprechenden Seite der Java-Code zunächst prüfen, auf welchem Betriebssystem er ausgeführt wird und dann das Nachladen entsprechenden Schadcodes, der auf das jeweilige Wirtsbetriebssyetem zugeschnitten ist, veranlassen.

Exploitcode ist mittlerweile in Umlauf und bereits in Programmen zur raschen Erstellung von Malware (Malware Kit oder Exploit Kit) enthalten. Es ist damit zu rechnen, dass entsprechender Angriffscode in der Kürze auf zahlreichen Seiten zu finden sein wird.

Es wird daher dringend empfohlen, Java auf betroffenen Systemen zu deaktivieren oder zu deinstallieren, sofern eine Deaktivierung nicht sichergestellt werden kann.

UPDATE: Oracle hat Java Update 11 veröffentlicht, das die Schwachstelle behebt. Man beachte, dass dieses Update offenbar nicht die unter RUS-CERT#1695 beschriebene Schwachstelle (CVE-2012-3174) behebt. Diese scheint nach Mitteilung von Krebs on Security bzw. dem US-CERT weiterhin zu bestehen. Aus diesem Grund sollte von einer Reaktivierung von Java in Browsern zunächst abgesehen werden und die im Abschnitt Workaround beschriebenen Maßnahmen ergriffen bzw. beibehalten werden.

Workaround

Abschaltung von Java im Browser: Ob Java erfolgreich abgeschaltet wurde, kann auf der Java-Testseite des Heise-Verlages geprüft werden.

Gegenmaßnahmen

Man beachte, dass dieses Update offenbar nicht die unter RUS-CERT#1695 beschriebene Schwachstelle behebt. Daher sollte von einer Reaktivierung von Java in Browsern zunächst abgesehen werden und die im Abschnitt Workaround beschriebenen Maßnahmen ergriffen bzw. beibehalten werden.

Vulnerability ID

Weitere Information zu diesem Thema

Exploit Status

Revisionen dieser Meldung

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1703