Exploit für ungepatchte Lücke in Mac OS X [Update]
Angreifer können beim Besuch einer Webseite die Kontrolle über einen Rechner übernehmen. Ursache des Problems ist eine seit sechs Monaten bekannte Lücke in Java -- die Sun bereits im Dezember geschlossen hat.
- Daniel Bachfeld
Der Sicherheitsspezialist Landon Fuller hat einen Exploit für Mac OS X veröffentlicht, durch den Angreifer die Kontrolle über einen Rechner übernehmen könnten. Dazu muss ein Anwender etwa mit Safari eine manipulierte Webseite aufrufen. Ursache der Drive-by-Download-Lücke sind seit Anfang Dezember bekannte Schwachstellen der Sandbox der Java Virtual Machine bei der Deserialisierung bestimmer Objekte. Damit kann ein (untrusted) Applet an höhere Systemrechte gelangen.
Sun hat die Lücken unter anderem mit Java 6 Update 11 im Dezember geschlossen -- bei Apple ist dies nicht der Fall. Da Apple nach Meinung von Fuller offensichtlich die Fehler nun seit sechs Monaten ignoriere, habe er sich entschlossen, zu demonstrieren, dass sich die Lücken wirklich ausnutzen lassen. In einem kurzen Test der heise-Security-Redaktion rief der Exploit das Programm /usr/bin/say zur Ausgabe einer Sprachansage auf einem Intel-Mac mit Mac OS X 10.5.7 auf.
Als Schutzmaßnahme empfiehlt Landon, unter "Safari/Einstellungen/Sicherheit" Java vollständig zu deaktivieren und zusätzlich unter "Safari/Einstellungen/Allgemein" die Option "Sichere Dateien nach dem Laden öffnen" zu deaktivieren.
Neben der Apple-Java-Version ist laut Bericht auch die Java-Portierung Soylatte 1.0.3 betroffen. Die aktuelle Version von Soylatte enthält den Fehler nicht mehr. Ein genauere Beschreibung der Lücke und wie man sie ausnutzt, hat Julien Tinnes in seinem Blog veröffentlicht.
Update:
In Tests von heise Security zeigte sich auch Firefox verwundbar, da auch der Open-Source-Browser die im System installierte, verwundbare Java-Version verwendet. Auch hier sollten Mac-User Java sofort deaktivieren. Dies gilt umso mehr als sich Landons Demo-Exploit sehr einfach decompilieren, mit echtem Schadcode versehen und wieder übersetzen lässt, wie Georg Wicherski in seinem Blog kritisiert. Damit kann prinzipiell jeder, der einen Java Compiler bedienen kann, scharfe Web-Exploits für Mac OS X bauen, die sofort beim Besuch einer Web-Seite Schadcode ausführen.
Siehe dazu auch:
(dab)