Sandbox

Zero-Day-Sicherheitslücke in Oracles Java gestopft

14.01.2013 | 16:00 Uhr | Florian Kurzmaier

Am Freitag ist eine kritische Sicherheitslücke in Oracles Java-Plugin bekannt geworden. Durch deren Nutzung konnte auf einfachstem Weg Schadcode auf Computersysteme mit Java 7 geschleust werden. Mittlerweile hat Oracle einen Patch zum Stopfen der Lücke veröffentlicht.

Die Meldung ist ein wenig erfreuliches Ereignis für Java-Entwickler Oracle :  Durch die aktuelle 0-Day-Sicherheitslücke ist es möglich, die Systeme der Nutzer zu kapern, Identitäten und Kreditkarteninformationen auszuspähen und ein Botnetz einzurichten. Das betrifft mehrere hundert Millionen Nutzer von Windows, Mac OS und Linux, die die aktuelle Version 7 von Java nutzen.

Als am späten Abend des 10. Januar die Nachricht über die Sicherheitslücke die Runde machte, schaltete sich neben dem Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) sogar das US-Department of Homeland Security ein und empfahl die Abschaltung oder gar Deinstallation von Java: „Wir haben im Moment keine praktikable Lösung für das Problem“, heißt es von Seiten des Computer Emergency Readiness Teams (kurz: CERT) von Homeland Security. „Die Schwachstelle wird momentan unkontrolliert angegriffen und hat bereits ihren Weg in einige Exploit-Kits gefunden.“

Apple hat am Freitag schnell reagiert und dafür gesorgt, dass Safari keine Java-Applets mit der fehlerhaften Java-Version mehr öffnet. Dafür wurde jedoch nicht wie von Macrumors berichtet die Xprotect.plist genutzt, sondern die Xprotect.meta.plist. Erstere Liste enthält nämlich ausschließlich Informationen über Schädlinge, während bislang die Xprotect.meta.plist das letzte Änderungsdatum der Schädlingsliste enthielt. Als Reaktion auf die jüngste Sicherheitslücke in Java hat Apple den Metadaten der Xprotect.meta.plist eine zusätzliche Plugin-Blacklist hinzugefügt, durch die Mindest-Versionen von Plugins, darunter auch für Java-Applets, definiert werden können. Die Mindest-Versionen von Plugins bedeuten einfach, dass die Xprotect.meta.plist die auf dem Rechner vorhandenen Plugins auf ihre Aktualität prüft und so verhindert, dass der Nutzer unbeabsichtigt die veralteten und somit gefährlichen Plugins verwendet.

Beide plist-Dateien aktualisiert OS X täglich automatisch, um Apple die Möglichkeit zu geben, schnell auf derartige Bedrohungen zu reagieren. Unter „Systemeinstellungen > Sicherheit > Allgemein > Weitere Optionen“ können Sie nachsehen, ob das automatische Update der Definitions-Liste aktiviert ist.

Durch das Update auf Version 11 werden die
Sicherheitseinstellungen verschärft.
Vergrößern Durch das Update auf Version 11 werden die Sicherheitseinstellungen verschärft.

Entscheidend bei der Sicherheitsfrage im Java-Kontext ist der Umgang mit Java-Applets – Sie waren die Ursache der jüngsten Schwachstelle. Applets laufen, sofern sie unsiginiert sind, innerhalb einer Sandbox-Umgebung, um Schaden am System zu verhindern. Eigentlich – denn durch eine Schwachstelle in der Sandbox-Umgebung konnten speziell präparierte Java-Applets ihre Berechtigungen ausdehnen und so der Sandbox "entfliehen". Durch das mittlerweile erhältliche Update „Java SE Development Kit 7, Update 11 (JDK 7u11)“ hat Oracle die Lücke gestopft und auch eine gravierende Änderung an den Voreinstellungen vorgenommen: Künftig ist die Standard-Sicherheitsstufe beim Start von Java-Applets in Sandboxing-Umgebung „hoch“ statt bisher nur „mittel“. Das hat zur Folge, dass in der Zukunft bei jedem Applet-Start separat nachgefragt wird, ob der Nutzer ihn erlaubt. So können Applets nicht mehr im Hintergrund aktiv werden.

Schon 2012 hatte die Java-Umgebung durch den gefürchteten Flashback-Trojaner für Negativschlagzeilen gesorgt ( wir berichteten ). Sollten es noch nicht getan haben, laden Sie hier das Update für Java .

1666275