Java-Lücke: Spiel mir das Lied vom Trojaner [2.Update]
Die seit dem Wochenende bekannte Java-Lücke wird bereits zum Verbreiten von Schädlingen aktiv ausgenutzt, etwa von Seiten zum Herunterladen von Liedtexten. Ein Java-Update schließt die Lücke aber offenbar.
- Daniel Bachfeld
Erste Webseiten versuchen die seit Ende der vorigen Woche bekannte Lücke in Java Web Start auszunutzen, um die Windows-PCs von Besuchern zu infizieren, berichtet der Antivirenhersteller AVG in seinem Blog. Zu den Seiten soll unter anderem die populäre Plattform songlyrics.com gehören, auf der sich die Texte aktueller Lieder herunterladen lassen. Offenbar haben Kriminelle die Webseite gehackt und Code eingebettet, der den Schadcode von einem russischen Webserver nachlädt.
Die Lücke beruht auf der ungenügenden Filterung von URLs, durch die sich mit präparierten URLs Parameter an Java Web Start übergeben lassen, mit denen lokale Anwendungen gestartet werden können. Auf diese Weise lässt sich auch Code aus dem Netz nachladen und starten.Von der Lücke ist nicht nur Windows, sondern auch Unix betroffen. Java für Mac OS X soll nicht verwundbar sein.
Analysen des Dienstes Wepawet (Details zu Wepawet im heisec-Artikel "Malware auf der Spur") zufolge versuchen die Angreifer aber nicht nur die Java-Lücke auszunutzen, sondern darüber hinaus auch noch mehrere Schwachstellen im Adobe Reader. Adobe hat erst gestern mit dem Update 9.3.2 15 Lücken im Reader geschlossen.
Aber auch für Java gibt es eine Lösung: Oracle hat das Update 20 für Java 6 veröffentlicht, das offenbar das Problem löst. Zumindest funktionierte nach der Installation der neuen Version der öffentliche Exploit von Tavis Ormandy mit dem Internet Explorer und Firefox nicht mehr. Damit hat Oracle überraschend schnell reagiert. Noch am Freitag berichtete Ormandy, dass der Hersteller die Schwachstelle nicht kritisch genug fand, um einen Notfall-Patch außerhalb des dreimonatigen Patch-Zyklus zu veröffentlichen. Zwar hatte Oracle gestern seinen vierteljährlichen Critical Patch Update, darin wurde Java aber nicht erwähnt.
Oracle macht in den Release Notes zu Java 6 Update 20 keine konkreten Angaben, was genau gepatcht wurde. Auf den ersten Blick sieht es eher so aus, als würden die verwundbaren Komponenten gar nicht erst im Browser geladen, als dass die eigentliche Lücke wirklich geschlossen wurde.
[Update]: Das Java-Update führt offenbar nicht in allen Fällen dazu, dass der bekannte Exploit nicht mehr funktioniert. Die Ursache ist derzeit unklar. Alternativ hilft es weiterhin, beim Internet Explorer das Killbit für das verantwortliche ActiveX-Control zu setzen, beispielsweise indem man folgenden Text in der Datei kill.reg speichert und die Datei dann doppelklickt:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}]
"Compatibility Flags"=dword:00000400
Im Firefox genügt es unter Extras/Add-ons/Plugins alle Module für das Java Deployment Toolkit zu deaktivieren.[/Update]
[2.Update]: Oracle hat die Beschreibung zum Java-Update nachgereicht, aus dem hervorgeht, dass besagte Lücke im Deployment Toolkit nun beseitigt wurde. Darüber hinaus wurde eine weitere kritische Lücke im Java-Plug-in geschlossen.
Siehe dazu auch:
- Adobe und Oracle stopfen zahlreiche Löcher in ihren Produkten
- Java-Exploit startet lokale Windows-Anwendungen
(dab)
