Oracles Java-Patch lässt Schlupfloch offen

Adam Gowdiak ist unermüdlich: Kaum hat Oracle einen Eil-Patch für die 0-Day-Lücke in Java bereitgestellt, findet der Sicherheitsforscher das nächste Einfallstor. In einem Beitrag auf der Mailingliste Full Disclosure verrät er dazu nur, dass ihn die fehlerhafte MBeanInstantiator-Methode bei der Suche nach weiteren Lücken inspiriert habe. Zuvor hatte schon Brian Krebs auf einen neuen Exploit hingewiesen, den der Oracle-Patch nicht ausbremst. Ob es sich um dieselbe Schwachstelle handelt, ist nicht klar.

Gowdiak hat zwei neue "Issues" gefunden, die er mit den Nummern 51 und 52 versehen hat. Sie ermöglichten es Applets weiterhin, in der aktuellen Java-Version aus der Sandbox auszubrechen. Allerdings sagte er gegenüber heise online, bei nicht signierten Applets könne der Exploit nur wirken, wenn der Anwender der Ausführung zuvor zugestimmt habe. Zu der Reaktion des Exploit auf signierte Applets gibt es noch keine Informationen.

2012 hatte Gowdiak bereits 49 andere Java-Schwachstellen zusammengestellt (PDF-Dokument) und Oracle übermittelt. Zu der angeblich vom Java-Hersteller geschlossenen 0-Day-Lücke hat Immunity Products eine ausführliche Analyse (PDF-Dokument) online gestellt. Ihr zufolge gelingt es im Zusammenspiel von MBeanInstatiator und einer fehlerhaften Implementierung der Sicherheitsprüfung in der Reflection-API, geschützte Klassen zu laden. Dadurch lasse sich letztlich der Security Manager abschalten.

Inspiriert von der Aufregung um die 0-Day-Lücke, haben Angreifer einen gefälschten Java-Patch veröffentlicht, wie die Sicherheitsfirma Trend Micro in ihrem Blog berichtet. Die Datei mit dem Namen javaupdate11.jar lade zwei Windows-Programme aus dem Netz, die Hintertüren öffneten. Anwender sollten das Java-Update nur aus zuverlässigen Quellen installieren. (ck)