Oracle patcht drei Monate alte 0-Day-Schwachstelle in Java
Mit dem Oracle Critical Patch Update - October 2015 hat Oracle mal eben 154 Schwachstelle behoben. Das hat sich ja mal wieder gelohnt. Aber wenn man nur vierteljährlich patcht und die Benutzer in der Zwischenzeit im Regen stehen lässt sammelt sich halt so einiges an.
Da muss man schon froh sein, dass diesmal nur eine der Schwachstelle bereits vor Veröffentlichung des Patches für Angriffe ausgenutzt wurde. Dass das mal wieder eine Java-Schwachstelle ist dürfte bei Oracle niemanden verwundern. Die Cyberkriminellen haben nun mal ein paar Lieblingsziele, wenn es darum geht, Client-Rechner übers Web anzugreifen. Und dazu gehört neben den Adobe Reader und Flash Player von Adobe und dem IE von Microsoft eben auch Java. Ja, auch das Java-Plugin ist Java, siehe unten im Text!
"Click-to-Play" - statt einziger Schutz gar kein Schutz
Die bereits für Angriffe ausgenutzte Schwachstelle hat die CVE-ID CVE-2015-4902. Und sie hat es in sich.
Zwar erlaubt die Schwachstelle "nur" das Umgehen von Schutzfunktionen, aber das ist in diesem Fall ziemlich katastrophal. Denn die Schwachstelle erlaubt es, das "Click-to-Play" zu umgehen, dass normalerweise die automatische Ausführung von Java-Applets im Browser verhindert. Mit anderen Worten: Normalerweise muss der Angreifer sein Opfer noch mittels Social Engineering dazu bewegen, der Ausführung seines bösartigen Applets zuzustimmen. Was nicht wirklich ein Problem ist. Die Schwachstelle erlaubt aber die automatische Ausführung des Applets, und damit einen Angriff, von dem der Benutzer überhaupt nichts merkt.
Die aktuelle Schwachstelle wird seit Juli "in the wild" ausgenutzt
Das finde ich schon ziemlich gefährlich, auch wenn Oracle das natürlich anders sieht. "Schutzmaßnahme umgehen" ist offiziell natürlich nicht so schlimm wie "Remote Code-Ausführung", aber wenn es die einzige Schutzmaßnahme ist, sollte man das doch erst nehmen. Um so mehr, da diese Schwachstelle in Verbindung mit der an Oracles Juli-Patchday behobenen 0-Day-Schwachstelle in Java (CVE-2015-2590) zur Ausführung von Code ausgenutzt wurde. Die APT-Gruppe "Pawn Storm" nutzte die Schwachstellen für gezielte Angriffe auf die Armee eines NATO-Mitgliedsstaates und eine "US defense organization" aus.
Damals schrieb ich noch leichtsinnigerweise
" Java wird im Browser ja sowieso nur noch nach Ihrer Zustimmung ausgeführt. Hier gilt das gleiche wie für Flash: Seien Sie vorsichtig, was sie da erlauben! "
Damals wusste ich noch nichts von dieser Schwachstelle, sonst hätte ich dazu geraten, Java zu deinstallieren. Aber das Problem erledigt sich ja sowieso gerade von selbst, Edge und Chrome unterstützen das Java-PlugIn ja schon nicht mehr, die anderen Browser werden sicherlich folgen.
Wie wichtig ist die Sicherheit für Oracle?
So, und jetzt lassen wir uns das noch mal auf der Zunge zergehen:
Seit Juli (vielleicht auch schon vorher) wurde diese Schwachstelle ausgenutzt, um einen Exploit an Javas "Click-to-Play"-Schutz vorbei zu schleusen und damit den eingeschleusten Code automatisch auszuführen. Der Exploit war also öffentlich, ein Cyberkrimineller hätte diese Schwachstelle also jederzeit analysieren und für eigene Angriffe nutzen können. Die dann ebenfalls völlig unbemerkt abgelaufen wären.
Und Oracle braucht 3 Monate, um die Schwachstelle zu beheben.
Zeigt das jetzt, wie wichtig man bei Oracle die Sicherheit allgemein nimmt (nicht sehr, man will ja nicht mal, dass Forscher nach Schwachstellen suchen), oder wie wichtig Java oder zumindest das Java-Plugin für Oracle ist?
Ach so: Ich vermute mal, die Cyberkriminellen haben diese Schwachstelle ignoriert, weil ihre Ausnutzung relativ aufwendig ist, es wird ein zusätzlicher Server benötigt. Den Aufwand haben die Cyberkriminellen wohl gescheut, es gab ja dieses Jahr reichlich 0-Day-Schwachstellen im Flash Player (8), IE (3) und Microsoft Office (4).
Und nun? Weg mit dem Java-Plugin!
Die aktuelle Schwachstelle wurde zwar behoben, aber wer weiß schon, wie sicher "Click-to-Play" wirklich ist?
Immerhin wurde diese Funktion ja von Oracle fast als Allheilmittel vor Angriffen angepriesen, da sollte man doch erwarten, dass sie besonders sicher entworfen und implementiert wird. Und wenn dann eine Schwachstelle entdeckt und ausgenutzt wird, dauert es 3 Monate, sie zu schließen? Also dass kann es ja nun wohl wirklich nicht sein.
Also: Weg mit dem Java-Plugin, Chrome und Edge unterstützen es ja sowieso nicht mehr. Wenn Sie wirklich noch eine Website benutzen, die auf Java angewiesen wird, sollten Sie sich nach einer Alternative umsehen. Oder für diese eine Website einen eigenen Browser mit installiertem Java-Plugin verwenden, mit dem sie aber alle anderen Websites meiden wie ein Schneemann den Hochofen.
Auch das Java-Plugin ist Java!
Und weil die Java-Entwickler jetzt bestimmt wieder anfangen zu jammern, dass das Java-Plugin ja gar nicht Java wäre und ähnlichen Unsinn von sich geben - wenn das Java-Plugin nicht Java ist, was ist es dann? Ein Einfallstor für Angreifer, klar. Aber so lange das Java-Plugin Java-Code ausführt und von Oracle nicht umbenannt wird, gehört es nun mal zu Java. Auch wenn es den Entwicklern von Server-basierten Anwendungen nicht passt. Aber keine Angst, mir scheint, Oracles Java stirbt gerade. Also zumindest das Plugin. Beim Rest - wer weiß? Zumindest die Java-Evangelisten braucht man ja schon nicht mehr.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 1.16 - Edge und die Sicherheit
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 2.16 - Wie sicher sind virtuelle Maschinen?
Vorschau anzeigen
entwickler.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.