Original-URL des Artikels: http://www.golem.de/news/java-kritische-sicherheitsluecke-im-security-manager-1301-96867.html    Veröffentlicht: 11.01.2013 11:52

Java

Kritische Sicherheitslücke im Security Manager

In allen Java-Versionen inklusive Java 7, Update 10, ist eine kritische Sicherheitslücke, die bereits aktiv genutzt wird. Dabei wird ein Fehler im Security Manager ausgenutzt. Über Webseiten eingeschleuster Schadcode kann mit Administratorrechten ausgeführt werden.

In Java ist abermals eine kritische Sicherheitslücke entdeckt worden. Sie tritt in allen Versionen von Java 7, einschließlich Update 10, auf. Das US-Cert hat bereits eine Warnung (CVE-2012-4681) herausgegeben. Laut dem Entdecker des Fehlers mit dem Alias Kafeine wird die Schwachstelle bereits aktiv ausgenutzt. Bislang gibt es von Oracle keinen Patch. Das US-Cert empfiehlt, Java im Browser zu deaktivieren.

Der Fehler befindet sich im Security Manager im Java Runtime Environment 1.7 (JRE). Frühere Versionen sind nicht betroffen. Mit einer Kombination aus Java Management Extensions (JMX) MBean und den Objekten aus sun.org.mozilla.javascript.internal in einem Applet lässt sich der Security Manager aushebeln.

Der Fehler wird bereits aktiv genutzt. Der Hacker Kafeine sammelt Informationen über die Kits, in denen der Exploit bereits enthalten ist, darunter Nuclear Pack, Redkit oder Blackhole.

Der Security Manager soll verhindern, dass Applets unerlaubt auf Funktionen des Betriebssystems zugreifen. Laut einem Dokument von Oracle prüft ein Applet, ob ein Security Manager bereits installiert ist. Ist das der Fall, wird mit "setSecurityManager" geprüft, ob er ersetzt werden kann. Das kann laut Oracle eine Ausnahme auslösen. Das wiederum nutzt der Schadcode aus, um sich erhöhte Rechte im System zu genehmigen, ohne dass der Code des Applets entsprechend signiert werden muss.  (jt)


Verwandte Artikel:
Kritische Sicherheitslücke: Java-Lücke war Oracle längst bekannt   
(30.08.2012 10:49, http://www.golem.de/news/kritische-sicherheitsluecke-java-luecke-war-oracle-laengst-bekannt-1208-94207.html)
Kritische Sicherheitslücke: Schwachstelle in Java 7 wird aktiv genutzt   
(28.08.2012 10:23, http://www.golem.de/news/kritische-sicherheitsluecke-schwachstelle-in-java-7-wird-aktiv-genutzt-1208-94129.html)

© 2014 by Golem.de