[Generic/Java] Schwachstelle in Java 7 Update 10 [UPDATE]
(2013-01-11 11:48:14.569145+00)
Quelle:
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0422Eine Schwachstelle in Oracle Java 7 bis einschließlich Update 10, ermöglicht einem Angreifer durch manipulierten Java-Code beliebigen Programmcode auf das beherbergende System zu schleusen und auszuführen. Ein entsprechendes Applet kann dabei z.B. über eine entsprechend hergerichtete Webseite oder eine E-Mail-Nachricht auf das Opfersystem transportiert werden. Derzeit sind noch keine Patches zur Behebung der Schwachstelle verfügbar. Es ist bereits entsprechender Exploitcode in Umlauf und es ist damit zu rechnen, dass Angriffe auf der Basis dieser Schwachstelle in kurzer Zeit massiv ansteigen werden. Da praktisch alle aktuellen Browser bei aktiviertem Java verwundbar sind, wird die Deaktivierung entsprechender Java-Plug-Ins bis zum Erscheinen entsprechender Patches dringend empfohlen. Man beachte, dass diese Schwachstelle nicht auf ein bestimmtes Wirtsbetriebssystem beschränkt ist. Sie kann z.B. als "Türöffner" genutzt werden und Code einschleusen, der betriebssystemspezifische Malware nachlädt.
UPDATE: Oracle hat Patches zur Behebung dieser Schwachstelle veröffentlicht. Dieses Update scheint jedoch eine ältere Schwachstelle nicht zu beheben, weshalb zunächst die empfohlenen Maßnahmen aufrecht erhalten werden sollten.
Inhalt
- Zusammenfassung
- Betroffene Systeme
- Nicht betroffene Systeme
- Plattform
- Einfallstor
- Angriffsvoraussetzung
- Angriffsvektorklasse
- Auswirkung
- Typ der Verwundbarkeit
- Gefahrenpotential
- Beschreibung
- Workaround
- Gegenmaßnahmen
- Vulnerability ID
- Exploit Status
- Weitere Information zu diesem Thema
- Revisionen dieser Meldung
Zusammenfassung
- CVE-2013-0422:
Betroffen: Oracle Java 7 bis inklusive Update 10
| Nicht betroffen: | Oracle Java 7 Update 11 |
| Plattform: | alle (generic) |
| Einfallstor: | Java Anwendung (i.W. Webanwendungen, Applets oder Apps) |
| Angriffsvoraussetzung: | Benutzerinteraktion |
| Angriffsvektorklasse: | remote |
| Auswirkung: | user compromise |
| Typ: | Implementierungs- oder Entwurfsfehler (Details derzeit nicht verfügabar) |
| Gefahrenpotential: | hoch |
| Workaround: | ja, Deaktivierung von Java |
| Gegenmaßnahmen: | neue Version |
| Exploit Status: | Exploitcode ist in Umlauf |
| Vulnerability ID: | CVE-2013-0422 |
Betroffene Systeme
- Oracle Java 7 bis einschließlich Update 10
- möglicherweise auch frühere Versionen
Nicht betroffene Systeme
- Oracle Java 7 Update 11
Plattform
- alle (generic)
Einfallstor
Angriffsvoraussetzung
- Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechende Java-Applikation, ein entsprechendes Java-Applet oder eine Web-Anwendung ausführen. In der Regel reicht es, wenn eine Webseite, die entsprechenden Code enthält, in einem Webbrowser geöffnet wird, um eine erfolgreiche Ausnutzung der Schwachstelle provozieren. Alternativ kann der entsprechende Code z.B. auch in einer E-Mail-Nachricht enthalten sein.
(user interaction)
Angriffsvektorklasse
- über eine Netzwerkverbindung
(remote)
Auswirkung
- Kompromittierung des das Java-Applet ausführenden Benutzers
(user compromise)
Typ der Verwundbarkeit
- unbekannt
Gefahrenpotential
- hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Eine Schwachstelle in Java 7 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des Benutzers ausgeführt, der die Java-Laufzeitumgebung gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.
Besondere Brisanz erhält die Schwachstelle durch zwei Eigenschaften, die typische Java-Umgebungen besitzen:
- Integration in Webbrowser: Java kann als Plug-In in die gängigsten Webbrowser integriert werden und wird in den meisten Fällen bereits vorinstalliert ausgeliefert. In Webseiten enthaltener Java-Code wird bei Aufruf durch den Browser automatisch ausgeführt. Je nach (ggf. möglicher) Sicherheitseinstellung wird der Benutzer dabei nicht explizit vorher um eine Bestätigung gebeten.
- Plattformunabhängigkeit: Java ist plattormunabhängig. Code ist in Java-Umgebungen auf verschiedenen Betriebssystemen lauffähig.
In einem Angriffsszenario sorgt Eigenschaft 1. für eine sehr leichte Ausnutzbarkeit. Es ist ausreichend, entsprechenden Code auf einer Seite zu platzieren und darauf zu warten, dass ein Benutzer mit einer verwundbaren Java-Umgebung die Seite aufruft. Eigenschaft 2. kann dazu ausgenutzt werden, Malware für verschiedene Plattformen zu entwickeln und sie über denselben Java-Code in verwundbare Systeme zu schleusen. In einem solchen Szenario würde bei Aufruf einer entsprechenden Seite der Java-Code zunächst prüfen, auf welchem Betriebssystem er ausgeführt wird und dann das Nachladen entsprechenden Schadcodes, der auf das jeweilige Wirtsbetriebssyetem zugeschnitten ist, veranlassen.
Exploitcode ist mittlerweile in Umlauf und bereits in Programmen zur raschen Erstellung von Malware (Malware Kit oder Exploit Kit) enthalten. Es ist damit zu rechnen, dass entsprechender Angriffscode in der Kürze auf zahlreichen Seiten zu finden sein wird.
Es wird daher dringend empfohlen, Java auf betroffenen Systemen zu deaktivieren oder zu deinstallieren, sofern eine Deaktivierung nicht sichergestellt werden kann.
UPDATE: Oracle hat Java Update 11 veröffentlicht, das die Schwachstelle behebt. Man beachte, dass dieses Update offenbar nicht die unter RUS-CERT#1695 beschriebene Schwachstelle (CVE-2012-3174) behebt. Diese scheint nach Mitteilung von Krebs on Security bzw. dem US-CERT weiterhin zu bestehen. Aus diesem Grund sollte von einer Reaktivierung von Java in Browsern zunächst abgesehen werden und die im Abschnitt Workaround beschriebenen Maßnahmen ergriffen bzw. beibehalten werden.
Workaround
Abschaltung von Java im Browser:- Mozilla Firefox
- Microsoft Internet Explorer: hier ist die Abschaltung nicht trivial und es müssen verschiedene Kniffe angewandt werden. Information hierzu findet sich in den folgenden Dokumenten:
- CERT-CC: Vulnerability Note VU#636312
Gegenmaßnahmen
- Installation von Oracle Java Update 11
Vulnerability ID
Weitere Information zu diesem Thema
- US-CERT: Vulnerability Note VU#625617: Java 7 fails to restrict access to privileged code
- FireEye: Happy New Year from New Java Zero-Day
- Krebs on Security: New Java Exploit Fetches $5,000 Per Buyer
Exploit Status
- Malware ist in Umlauf und die Schwachstelle wird aktiv ausgenutzt.
(malware)
Revisionen dieser Meldung
- V 1.0 (2013-01-11)
- V 1.1 (2013-01-15): Patches verfügbar
Weitere Artikel zu diesem Thema:
- [Generic/Java] Schwachstelle in Java 7 Update 10 (2012-06-13)
Eine Schwachstelle in Oracle Java 7 bis einschließlich Update 10, ermöglicht einem Angreifer durch manipulierten Java-Code beliebigen Programmcode auf das beherbergende System zu schleusen und auszuführen. Ein entsprechendes Applet kann dabei z.B. über eine entsprechend hergerichtete Webseite oder eine E-Mail-Nachricht auf das Opfersystem transportiert werden. Derzeit sind noch keine Patches zur Behebung der Schwachstelle verfügbar. Die Schwachstelle betrifft nur Java-Installationen, die als Plug-in in Webbrowsern verwendet werden. Stand-Alone-Installationen sind laut Oracle nicht betroffen.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1703