Mehr als zwei Jahre alter Java-Security-Patch von Oracle immer noch verwundbar

Wieder einmal hat der polnische Sicherheitsexperte Adam Gowdiak samt den Mitstreitern seiner Firma Security Explorations die Finger in Oracles Java-Patch-Strategie gelegt. So hat wohl Oracle bei einem Patch für eine schon 2013 entdeckte Sicherheitslücke gepatzt, sodass diese Java-Version immer noch verwundbar ist.

Die Sicherheitslücke mit dem Bezeichner CVE-2013-5838 ermöglichte laut Oracle einen Exploit für Java Web Start und Java Applets nutzende Client-Anwendungen und bekam von Oracle den Verletzungsgrad 9.3 bei maximal möglichen 10 Punkten. Das Java SE 7 Update 40 sollte damals das Problem beseitigt haben. Gowdiak und Kollegen, die damals schon auf den Fehler hinwiesen, sind mittlerweile jedoch zur Meinung gekommen, dass Oracle damals den Fehler falsch bewertet habe und zudem beim Update gepfuscht habe.

Gowdiak schreibt nun auf der Mailing-Liste "Full Disclosure", dass sich die Lücke auch in Serverumgebungen und Installationen mit Googles App Engine für Java-Entwickler ausnutzen lasse. Der Forscher beschreibt, dass durch das Ändern von vier Zeichen in Oracles Proof-of-Concept-Code Angreifer die Möglichkeit erhalten würden, einen "klassischen Angriff auf die JVM (Class Spoofing Attack)" durchzuführen – und das selbst noch bei aktuellen Java-Versionen (Java SE 7 Update 97, Java SE 8 Update 74, Java SE 9 Early Access Build 108). Gowdiak hat jetzt selbst Proof-of-Concept-Code zur Verfügung gestellt, begleitet von einem die Angriffsmöglichkeiten zeigenden technischen Dokument

Der neue Exploit ermöglicht es, aus der Java-Sandbox auszubrechen ("A complete Java security escape could be achieved with it."). Damit steht zwischen einem saubern System und einer Infektion mit Schadprogrammen nur noch die Zwangsverzögerung "Click-to-Play", die dafür sorgt, dass Java-Applets nicht automatisch ausgeführt werden.

Kein Unbekannter für Oracle

Oracle habe man nun nicht wieder kontaktiert – "Wir tolerieren keine kaputten Fixes mehr" fasst Gowdiak seine neue Policy auf Full Disclosure zusammen. Damals hatten seine Untersuchungen zum Status der Sicherheit von Java einen gut Teil dazu beigetragen, das eigentlich für 2013 vorgesehene Java 8 auf das folgende Jahr zu verzögern. Aufgrund etlicher Sicherheitslücken und miserabler Bewertungen in Sachen Sicherheit in unabhängigen Studien legte Oracle den Fokus erst mal auf ein sichereres Java – mit der Folge, dass etliche Java-Entwickler explizit dafür von anderen Aufgaben abgezogen wurden.

Die neuerliche Lücke hat Gowdiak zuerst auf der JavaLand-Konferenz vorgestellt, auf der er diese Woche einen Keynote-Vortrag gehalten hat, dessen Folien der Sicherheitsexperte nun ebenfalls zur Verfügung gestellt hat. Sein Fazit war, dass Oracle, aber auch viele andere Unternehmen, darunter Apple und IBM, einen stiefmütterlichen Umgang mit Sicherheit und eine in Sicherheitsbelangen fragwürdige Kommunikationspolitik pflegen. (ane)