Java-Patch wirft weitere Fragen auf

Originalartikel von Pawan Kinger, Vulnerability Research Manager

Obwohl Oracle einen Patch für die jüngste Java-Lücke CVE-2013-0422 veröffentlicht hat, wird weiterhin vor dem Einsatz des Java Browser-Plugins gewarnt. Die Begründung: Der Fix ist nicht vollständig. Die Analyse der Trend Micro-Sicherheitsforscher hat diese Einschätzung bestätigt.

Es gibt zwei Probleme in diesem CVE. Das eine steht im Zusammenhang mit der findclass-Methode der com.sun.jmx.mbeanserver.MbeanInstantiato-Klasse, das andere bezieht sich auf die invokeWithArguments()-Methode der java.lang.invoke.MethodHandle-Klasse. Oracle hat lediglich letzteres gelöst, während die findclass-Methode auch weiterhin dazu benützt werden kann, eine Referenz auf restriktive Klassen zu erhalten. Das heißt, besagte Methode lässt immer noch eine Lücke offen, die zusammen mit einer neuen Sicherheitslücke missbraucht werden könnte.

Es gibt einen weiteren Punkt, der der Klärung bedarf: Die Sicherheitslücke CVE-2012-3174 steht  entgegen einiger Berichte nicht in Verbindung mit den Problemen mit dem Reflection API. Dieses Problem ist als Teil von CVE-2013-0422 behoben worden. Die National Vulnerabilities Database (NVD) erklärt wörtlich: “Einige haben CVE-2012-3174 mit einem Problem der rekursiven Nutzung des Reflection APIs in Zusammenhang gebracht. Diese Angelegenheit war jedoch Teil von CVE-2013-0422.”

Die Frage, die alle beschäftigt, lautet aber: „Schützt der Patch vor den jüngsten Angriffen über CVE-2013-0422?“ Antwort: Ja, aber nur so lange bis jemand einen weiteren Fehler findet, den er zusammen mit dem ersten nutzen kann. Die findclass-Methode bleibt weiterhin eine offene Frage, die Lücke kann aber für sich allein nicht missbraucht werden.

Dennoch muss jedem Anwender klar sein, dass die Nutzung von Java riskant bleibt. Deshalb ist es eine Überlegung wert, ob Java im Einzelfall wirklich erforderlich ist. Die Alternativen beschreibt der Blogeintrag „Java selektiv nutzen“. Trend Micro-Anwender sind über Deep Security und das Smart Protection Network zusätzlich geschützt. Einzelheiten dazu bietet der Blogeintrag „Oracle patcht die Java-Lücke“.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*