Java pfuscht bei Zertifikats-Checks

JavaJava kommt nicht aus den Schlagzeilen. In den letzten Wochen gab es so viele Java-Updates wie es sonst vielleicht über das Jahr verteilt gäbe. Sicherheitsloch da, Sicherheitslücke dort. An allen Ecken und Enden klemmt und stockt es in Java. Man möchte meinen dass mit einem Update eine Lücke gestopft und eine andere geöffnet wird.

Der neuste Schrei sind die Zertifikate, welche Java nutzt um signierten, und somit eigentlich vertrauenswürdigen Code, auszuführen. Das Problem sind dabei nicht die eigentlichen Zertifikate, sondern vielmehr die in Java implementierten Sicherheitsfeatures. Diese sollten Zertifikate zum einen auf ihre Gültigkeit prüfen, und zum anderen feststellen, ob so ein Zertifikat irgendwo auf einer Sperrliste steht.

Java
Überprüfung auf allfällige Sperrung standardmässig nicht aktiv

Diese Features sind in Java vorhanden, aber, das ist das Schlimme, standardmässig deaktiviert. Vielen Dank auch, Oracle.

Obwohl Oracle der digitalen Signatur der Applets einen so hohen Stellenwert beimisst, damit es aus der Java-Sandbox aussteigen und das System des Nutzers nach Belieben manipulieren darf, lassen sie solche Sicherheitslücken offen wie ein Scheunentor. Einem unsignierten Applet ist das Aussteigen aus der Sandbox erst mal grundsätzlich nicht erlaubt.

Der höchste Malware-Analyst beim AV-Hersteller Avast, Jindrich Kubec, hat sich denn auch zu einem gepfefferten wtf hinreissen lassen. Recht hat er ja auch…

Die bisherige Empfehlung, Java zu deinstallieren, wenn es nicht zwingend benötigt wird, hat nach wie vor Bestand. Zumindest aber kann man die Click-to-Play Funktion von Google Chrome und Mozilla Firefox nutzen, damit das Plugin erst aktiviert wird, wenn man es braucht. Auf die Java-eigenen Sicherheitsmechanismen ist derzeit ja augenscheinlich kein Verlass.

Quellen:

Oracle schliesst kritische Java-Sicherheitslücke

Java - by OracleDie Sicherheitslücke in Java, welche Ende letzter Woche bekannt und in den einschlägigen Online-Medien breitgeschlagen wurde, ist nun mit einem Patch ausserhalb der Reihe behoben worden. Bei dieser Sicherheitslücke handelt es sich um eine Zero-Day-Lücke. Sie wurde bereits aktiv ausgenutzt, so war Oracle definitiv im Zugzwang für einen Patch. Durch diese Sicherheitslücke kann unbemerkt Schadcode auf das System gelangen und ausgeführt werden. Entsprechender Schadcode war bereits in den bekannten Exploit-Kits verfügbar.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI hat Nutzer gar dazu aufgerufen, Java komplett zu deinstallieren, bis eine gepatchte Version zur Verfügung steht. Viele Browser-Hersteller, so Mozilla, Google und Apple (jeweils mit Firefox, Chrome und Safari) haben mit einem Patch ihrer Browser das Java-Plugin innerhalb des Browsers deaktiviert, um so eine erste Schadensbegrenzung zu machen.

Java-Update

Die neue Version Java 7 Update 11 steht ab sofort zum Download zur Verfügung: http://www.java.com/de/download/manual.jsp

Mit der neuen Version wird nicht nur diese Sicherheitslücke gestopft. Das Standard-Sicherheitslevel von Java von “Medium” auf “Hoch” angehoben, So werden Anwender jedes Mal beim Ausführen eines nicht signierten Applets eine entsprechende Warnung erhalten und über das mögliche Sicherheitsrisiko von nicht signierten Applets informiert. Das dürfte zukünftige Angriffe erschweren, da bösartige Applets in der Regel kaum signiert sind.

Ich empfehle euch dringendst, nicht nur Java zu aktualisieren, sondern auch euer System durch regelmässige System- und Software Updates (Windows-Updates, Office-Updates, weitere Software, Antiviren-Programm etc.) immer auf dem aktuellsten Stand zu halten.