Update: Exploit für Zero-Day-Schwachstelle in Java

Lyrics von Lady Gaga, Rihanna und Miley Cyrus für Drive-by-Attacken missbraucht

16.04.2010 | Redakteur: Stephan Augsten

Ausgehebelt: Mithilfe spezieller URL-Parameter können Angreifer bösartigen Code über Java Web Start ausführen.
Ausgehebelt: Mithilfe spezieller URL-Parameter können Angreifer bösartigen Code über Java Web Start ausführen.

Java Web Start beinhaltet eine Schwachstelle, die sich mithilfe manipulierter Webseiten ausnutzen lässt, um Zugang zu betroffenen Systemen zu erhalten. Offensichtlich werden die URL-Parameter, die an die an das Browser-Plugin übergeben werden, nur unzureichend geprüft. Knapp eine Woche nach der Warnung ist nun ein Exploit-Code im Internet aufgetaucht.

Sun liefert seit dem Java Update 10 das Java Deployment Toolkit aus, damit Java-Entwickler ihre Webanwendungen einfacher an Endnutzer verteilen können. Das Toolkit wird automatisch mit der Java Runtime Environment (JRE) installiert und ist per Default als sichere Scripting-Funktion gekennzeichnet.

Ein Bestandteil des Toolkits ist wiederum Java Web Start (JWS, javaws.exe); eine Komponente, die das Ausführen und Installieren von Webanwendungen unter Zuhilfenahme von URL-Parametern ermöglicht. Allerdings werden diese Parameter von JWS nur unzureichend geprüft. Ein Angreifer könnte somit beispielsweise mithilfe bestimmter Argumente die javaws.exe dazu veranlassen, eine bösartige JAR-Datei (Java Archive) auszuführen.

Zwei Sicherheitsforscher hatten auf unterschiedlichen Wegen eine entsprechende Remote Code Execution bewerkstelligt. Sun Microsystems wurde über die Zero-Day-Schwachstelle informiert, hatte ihr laut dem Security-Experten und Google-Ingenieur Tavis Ormandy bis zuletzt allerdings keine derart hohe Priorität eingeräumt, um ein außerplanmäßiges Update zu veröffentlichen.

Update: Exploit-Code auf Lyrics-Webseite entdeckt

Mit dieser Einschätzung lagen die Java-Entwickler allerdings falsch, wie sich nun herausstellt. Kurz nachdem Ormandy im Rahmen seiner Warnung einen Proof-of-Concept-Code veröffentlicht hat, haben Cyber-Kriminelle bereits einen Exploit-Code entwickelt. Im Laufe dieser Woche wurden entsprechende Drive-by-Attacken über eine Webseite verzeichnet, auf der man sich Song-Texte ansehen kann.

Sobald ein Anwender die Lyrics von Rihanna, Usher, Lady Gaga oder Miley Cyrus abfragt, scannt der Angriffscode automatisch die Maschine des potentiellen Opfers auf verschiedene Sicherheitslücken, darunter auch den JWS-Fehler. Laut Roger Thompson, Chief Research Officer des Antivirus-Herstellers AVG, ist der Code relativ einfach gestrickt, und deshalb recht einfach weiterzuverbreiten. So habe man den Exploit schon auf mehreren russischen Servern gefunden.

Infolge der Angriffe stellt Sun nun doch ein außerplanmäßiges Security-Update für Java bereit, das alle Anwender umgehend installieren sollten. Die Schwachstelle betrifft sämtliche JRE-6-Versionen seit Update 10 und infolgedessen unter anderem den Internet Explorer und NPAPI-basierende Browser wie Mozilla Firefox und Google Chrome. Die Remote Code Execution ließ sich unter Windows und Linux nachvollziehen, aber nicht unter Mac OS X.

Am besten geschützt sind Anwender, die unbekannte Links gar nicht erst betätigen und die nicht vertrauenswürdigen Webseiten surfen. Betroffene ActiveX-Funktionen lassen sich mithilfe von Killbits außer Kraft setzen. In seiner Sicherheitsmeldung erläutert Ormandy unter dem Punkt Mitigation entsprechende Workarounds, um das Problem mit Java Web Start zu beheben. Sofern Java Web Start von den Browser-Nutzern im Unternehmen nicht benötigt werde, sollten Administratoren die Funktion deaktivieren.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2044375 / Mobile- und Web-Apps)