Schlechter Kaffee

Atif Mushtaq von der Security-Firma Fireeye hat auf eine Sicherheitslücke in Java aufmerksam gemacht, für die im Internet bereits funktionierende Exploits kursieren. Betroffen sind möglicherweise verschiedene Versionen des Java Runtime Environment 1.7. Getestet hat Mushtaq den Exploit mit JRE 1.7 Update 6. Übers Internet lässt sich die Schwachstelle ausnutzen, wenn Webbrowser über das Java-Plugin das JRE verwenden.

Der Security-Scanner Metasploit hat bereits passenden Exploit-Code integriert. Im Test zeigten sich die folgenden System als verwundbar: Mozilla Firefox auf Ubuntu Linux 10.04, Internet Explorer / Mozilla Firefox / Chrome auf Windows XP, Internet Explorer / Mozilla Firefox mit Windows Vista, Internet Explorer / Mozilla Firefox unter Windows 7 und Safari mit Mac OS X 10.7.4. Dass weitere Systeme davon betroffen sind, gilt als sicher.

Der im Internet gefundene Exploit, der auf einem Rechner in Taiwan gehostet ist, installiert einen Trojaner auf dem angegriffenen Rechner, der wiederum einen Server in Singapur kontaktiert und somit vermutlich Teil eines Botnetzes wird. Beispielcode, der unter Windows das Binary "calc.exe" ausführt ist auf der Website Pastie zu finden.

Einen Bugfix für die Schwachstelle gibt es bisher nicht, also sollte man Java im Browser am besten komplett abschalten. In der Common Vulnerabilities und Exposures Database firmiert die Sicherheitslücke unter dem Code CVE-2012-4681.

(Diese Meldung stammt vom Magazin Admin)

Update: In Bugzilla ist der Bug hier zu finden, detaillierte Informationen zum Problem finden sich auch in diesem Thread auf der Open-JDK-Mailingliste.