ACHTUNG! Gefährliches Java Exploit

[Evenprime]

JAVA Applets laufen ja grundsätzlich sandboxed, d.h. die Anwendung hat keinen Zugriff auf die Festplatte, auf andere Programme oder das Netzwerk. Wenn das Applet einen solchen Zugriff benötigt (wie z.B. der Chat auf dieser Webseite, welcher über JAVA läuft), wird der User erst gefragt, ob er der Anwendung diesen Zugriff erlaubt.

Bei diesem Exploit wird diese Frage allerdings nie gestellt, denn durch geschicktes Manipulieren des Codes des Applets durch sich selbst und die Ausnützung von anderen Schwächen im JAVA Security Framework erlaubt sich die Anwendung selbst diesen Zugriff, die Anwendung bricht selbständig aus der Sandbox aus und läuft wie eine normales, vom Nutzer gestartetes Programm mit vollen Nutzerrechten, also Zugriff auf Festplatte, Netzwerk, ...

Daher ist tatsächlich der einzige wirksame Schutz, das Laden von JAVA Applets zu verhindern indem man das Plugin komplett deaktiviert, oder NoScript so einstellt, dass JAVA Applets komplett geblockt werden, also nie geladen werden.

[Jaster]

ugh schon wieder. y java, y

[Hanutaman]

wie stellt man das ein ?

[Leon]

(12.01.2013)Evenprime schrieb:  [...] Wenn das Applet einen solchen Zugriff benötigt (wie z.B. der Chat auf dieser Webseite, welcher über JAVA läuft), wird der User erst gefragt, ob er der Anwendung diesen Zugriff erlaubt.

Bei diesem Exploit wird diese Frage allerdings nie gestellt, denn durch geschicktes Manipulieren des Codes des Applets durch sich selbst und die Ausnützung von anderen Schwächen im JAVA Security Framework erlaubt sich die Anwendung selbst diesen Zugriff, die Anwendung bricht selbständig aus der Sandbox aus und läuft wie eine normales, vom Nutzer gestartetes Programm mit vollen Nutzerrechten, also Zugriff auf Festplatte, Netzwerk, ... [...]

^ Genau das (oder so ähnlich) wollte ich schreiben.
Da es eben eine Sicherheitslücke ist, bekommt der Angreifer über das manipulierte Java-Applet Vollzugriff auf den Rechner ohne irgendeine Bestätigung. (Beispielvideo von einer Lücke vom August 2012)
Übrigens: Normalerweise laufen die Applets in einer Sandbox, sofern sie aber signiert sind, und man die Ausführung bestätigt, haben diese ebenfalls Vollzugriff, wobei es sich hierbei nicht um eine Sicherheitslücke handelt, sondern um ein bewusst gewolltes Feature. (Siehe auch hier: http://docs.oracle.com/javase/tutorial/d...urity.html)

[urishima]

UPDATE:

Zitat:Wie verschiedene US-Medien berichten, hat Oracle angekündigt, kurzfristig einen Patch für die vor wenigen Tagen entdeckte Zero-Day-Lücke in Java bereitzustellen. Der Fehler hatte unter anderem das deutsche BSI und das US-Heimatschutzministerium zu Warnungen veranlasst. Mozilla und Apple deaktivierten das Java-Plug-in in ihren Browsern. Betroffen ist nur die aktuelle Version 7 von Java.

Unterdessen hat der polnische Sicherheitsexperte Adam Gowdiak Oracle auf der Bugtraq-Mailingliste vorgeworfen, Sicherheitsprobleme nicht gründlich genug zu untersuchen. Die jetzige Zero-Day-Lücke ermöglicht Anwendungen den Zugriff auf privilegierte Klassen unter Umgehung des Java-Security-Managers. Dabei werde ein Verfahren verwendet, so Gowdiak, über das sein Unternehmen Security Explorations Oracle bereits im August 2012 informiert habe. Der Patch vom Oktober habe jedoch nur einen Teil des Bugs mit dem Kürzel "Issue 32" beseitigt.

Denn die von ihm "Issue 50" getaufte (PDF-Dokument) Lücke wollte Oracle erst im Februar 2013 mit dem nächsten regulären Java-Patchday schließen. Im Zusammenspiel mit "Issue 32" und dem unvollständigen Patch habe sich die Zero-Day-Lücke geöffnet. Gowdiak will bereits eine Oktober 2012 eine Korrektur für Issue 50 an Oracle geschickt haben, die lediglich 25 Zeichen groß war.

Auch bei anderen bekannten Lücken in seiner Software hat es Oracle nicht übermäßig eilig. So will sie den Fehler im TNS-Listener, der das Kapern von Datenbankverbindungen ermöglicht, erst mit der Version 12 ihrer Datenbank beheben. Ein Erscheinungstermin dafür ist noch nicht bekannt. (ck)

Quelle:
http://www.heise.de/newsticker/meldung/O...82827.html

[Sheogorath]

Mhh, für Linux gibts OpenJDK, für Windows offenbar nicht. Aber bringt es überhaupt was? Iwie bin ich mir nun nicht mehr so sicher, inwiefern OpenJDK wirklich open source ist und obs seine bugs schneller fixt

[MianArkin]

Je komplexer Programme, und je Häfiger sie Auftreten (Menge von Nutzern) desto warscheinlicher ist die Aufdeckung von Schwachstellen und deren Ausnutzung.
Das Die Linuxversionen bisher kaum darunter gelitten haben liegt ausschließlich an iher Verbreitung, es ist schlicht nicht Lukativ genug diese zu Analysieren.
Das Ewige Gemeckere nervt mich.
An die Nörgler, Löscht eure Festplatten, vernichtet eure PCs, greift zu Papier und Stft und schreibt euch in Geheimcode (Obwohl dies ebenfalls nicht wirklich sicher ist).
An die Restlichen ,hofft darauf das die Programmierer der Programme im Wettrüsten mit den Hackern gleichziehen (Ein Patt ist die Effizienteste Möglichkeit, da kein Programm 100% sicher sein kann und die Programmierer erst auf mögliche Fehler reagieren können wenn "Hacker" diese aufspüren ).

[Sheogorath]

Gegen sowas gibts normalerweise Qualitätssicherung. Wenn die Firma gerade da spart, sollte man IMHO zur Konkurrenz gehen (falls sie existiert...). Außerdem, Mozilla zB hätte vermutlich noch am selben Tag nen Hotfix veröffentlicht. Oracle hat sich ja gerade erst zu einer ankündigung eines Patches durchgerungen...

Und, willst du dich dann auch beschweren, wenn Autofahrer über Konstruktionspfusch bei Autos meckern?

Ein Programm kann 100% sicher sein. Zugegeben, es wird immer weniger warscheinlich, aber alle Bugs/Sicherheitslücken/Exploits sind nicht etwa eine inhärente Eigenschaft von Software, sondern immer Versagen seitens des Programmierers.

[MianArkin]

(14.01.2013)Sheogorath schrieb:  Und, willst du dich dann auch beschweren, wenn Autofahrer über Konstruktionspfusch bei Autos meckern?

Java läuft, also funktioniert es, gleiches bei Autos (Der Pedant zu einem Hacker wäre hier ein Vandale/Dieb der in die Reifen sticht, an den Bremsen Rumspielt oder gleich das Auto knackt und damit wegfährt).

Programmierer können bis zu einem Gewissen Punkt vorrausplanen, oft sind es aber Schwachstellen an die keiner gedacht hatte (und hierbei spielt die Komplexität eine Bedeutente Rolle).
Sicherheit ist Utopisch, weshalb auch Flug/Fahrzeuge nicht 100% sicher sind.
Es währe häufig schlicht zu teuer, zudem können selbst dann noch Fälle Auftreten die die Sicherheitsauslegung überschreiten können.

Oracle zerbricht sich sicher seit bekanntwerden den Kopf darüber, jedoch könnten auch durch das Schließen der Lücke Javafunktionen beeinträchtigt werden.
Schoneinmal daran gedacht?
Somit könnte der Hersteller vor der leidigen Aufgabe stehen das Loch zu schließen, ohne den Programmen im Internet, die Java benutzen "Den Hahn zuzudrehen".

Ich ziehe in Zweifel das alle Java-programme die durch ein einfachs "Kitten" der Schwachstelle beeinträchtigt werden extra umgeschrieben werden, nur damit sie nach dem Javaupdate lauffähig sind .

[Jandalf]

(14.01.2013)MianArkin schrieb:  

(14.01.2013)Sheogorath schrieb:  Und, willst du dich dann auch beschweren, wenn Autofahrer über Konstruktionspfusch bei Autos meckern?

Java läuft, also funktioniert es, gleiches bei Autos (Der Pedant zu einem Hacker wäre hier ein Vandale/Dieb der in die Reifen sticht, an den Bremsen Rumspielt oder gleich das Auto knackt und damit wegfährt).

Naja, es ist hier eher so, um bei der Autometapher zu bleiben, dass wenn man an eine bestimmte Stelle an der Motorhaube klopft die Fahrertür aufgeht und der Motor anspringt.

[Sheogorath]

(14.01.2013)MianArkin schrieb:  Java läuft, also funktioniert es, gleiches bei Autos (Der Pedant zu einem Hacker wäre hier ein Vandale/Dieb der in die Reifen sticht, an den Bremsen Rumspielt oder gleich das Auto knackt und damit wegfährt).

Nein eben nicht. Es gibt in Software keine wirkliche Analogie für das "Knacken" in diesem Sinne, außer vielleicht Dinge wie mit nem Cluster aus 9000 Grafikkarten Hashes zurückrechnen und ähnliches. Auf Autos übertragen wäre Hacken zB so wie wenn man rausfinden würde, dass Autos sich auch mit Haarnadeln öffnen lassen, wenn man vorher am Scheibenwischer gezogen hat, weil irgendein Ingeneur es für ne gute Idee hielt, Scheibenwischer und Schloss am selben Teil zu befestigen.
Ich wünschte Leute

Zitat:Programmierer können bis zu einem Gewissen Punkt vorrausplanen, oft sind es aber Schwachstellen an die keiner gedacht hatte (und hierbei spielt die Komplexität eine Bedeutente Rolle).

Und deshalb sollte man ausgiebig testen. Am Besten direkt Leute anheuern, die den ganzen Tag gezielt nach Sicherheitslücken suchen, oder direkt den Quelltext veröffentlichen, dann können sehr viele Leute testen.
Aber Unternehmen neigen dazu, Sicherheitslücken stattdessen totzuschweigen (schließlich will niemand zugeben, Fehler gemacht zu haben).

Zitat:Sicherheit ist Utopisch, weshalb auch Flug/Fahrzeuge nicht 100% sicher sind.
Es währe häufig schlicht zu teuer, zudem können selbst dann noch Fälle Auftreten die die Sicherheitsauslegung überschreiten können.

Du hast hier wieder ne falsche Analogie. Du kannst Software nicht mit Hardware vergleichen, so wie du es dauernd tust.

Zitat:Oracle zerbricht sich sicher seit bekanntwerden den Kopf darüber, jedoch könnten auch durch das Schließen der Lücke Javafunktionen beeinträchtigt werden.
Schoneinmal daran gedacht?
Somit könnte der Hersteller vor der leidigen Aufgabe stehen das Loch zu schließen, ohne den Programmen im Internet, die Java benutzen "Den Hahn zuzudrehen".

Das ist so richtiges Noobdenken: mir doch egal wenn meine SW nichts richtig macht, hauptsache es macht den Anschein stabil zu funktionieren.
Schon mal daran gedacht dass "beliebiger Code kann einfach so eingeschleust und ausgeführt werden" viel schlimmer ist als "irgendein Javaprogramm wird vielleicht nicht funktionieren"?

Zitat:Ich ziehe in Zweifel das alle Java-programme die durch ein einfachs "Kitten" der Schwachstelle beeinträchtigt werden extra umgeschrieben werden, nur damit sie nach dem Javaupdate lauffähig sind .

Wenn es wirklich dazu kommen sollte (was ich für unwarscheinlich genug halte, oder wie viele Webseiten sind zB durch Firefoxupdates gebrochen?), dann ist entweder
a) Oracle schuld, und muss halt nochmal nachbessern. Aber immer noch besser als wenn Java generell ein Einfallstor für Malware ist.
oder
b) Die Programmierer dieser Anwendungen sind schuld, weil sie sich offenbar auf irgendwelche obskuren Eigenheiten verlassen haben, anstatt auf die dokumentierten Funktionen, also unsauber programmiert haben. In dem Fall ja, die sollen gefälligst alles umschreiben.

[Evenprime]

Mich stört weniger, dass es die Lücke gibt, sondern dass diese scheinbar so lange ignoriert wurde.

Autometapher dazu: Ein Hersteller erfährt, dass bei seinem Fahrzeug bei einer ganz bestimmten Geschwindigkeit und eingelegtem Gang und einer heftigen Lenkbewegung nach links sich das ABS kurzzeitig deaktiviert. Ein obskures Problem, das erstmal fast niemand bemerkt und fast niemanden betrifft. Aber wenn es auftritt, ist der Schaden groß.

Die Aufgabe des Herstellers ist dann eine Rückrufaktion zu starten um den Fehler zu beheben, oder falls der Fehler nicht behebbar ist, zumindest die Fahrer darüber aufzuklären, welche Gegenmaßnahmen sie treffen können (z.B. die Situation vermeiden).

Aber einfach ein halbes Jahr nichts tun und darauf zu warten, bis es mehrmals ordentlich kracht, ist geradezu fahrlässig.

[Sheogorath]

Danke, Evenprime.

Man könnte es noch weiter treiben: einige Auto-Enthusiasten finden diesen Fehler und kontaktieren sofort den Autohersteller. Dieser reagiert nicht, oder versucht nur sie zu beschwichtigen. Danach gehen sie an die Öffentlichkeit, und der Hersteller geht nun gerichtlich gegen sie vor, wegen "Rufschädigung".
Soll auch vorkommen...

[Aica]

Muss ich bei der Sache mit den Autos durchblicken? Habs irgendwann gelassen, weil es mir etwas OT vorkam... Und nur irgendwelche Bildlichen Beispiele / Methaffern sind, welche eigentlich eher für mich nutzlos sind und ich wage zu behaubten, auch für den Thread... Aber weiß es nicht..

Was ich ebenfalls nicht weiß ist folgendes: Am 11. kam die Meldung mit der Lücke. Am 11. oder 10. hatte ich aber kein Javaupdate am PC, demnach kann ich doch nicht die Lücke mit drauf gemacht haben, oder?
Wenn doch, oder egal wie auch immer das funktioniert.. Ist man mit Comodo Dragon, welches mit Apps voll gestopft ist, ziemlich gearscht, oder?

LG
Aica

[Voodooslove]

Sorry Leute, ich bin absoluter Techniknoob bei sowas, nun ist bei mir heute beim hochfahren eine Installation für Java hochgeploppt und ich weiß nun nicht, ob ichs installieren soll, oder nicht. Hab erstmal auf abbrechen geklickt. Woran erkenne ich genau, dass es die "böse" version ist?
Wenn es eine normale ist, sollte ich sie ja schon installieren oder?

Hab leider bei euren Texten kein Wort verstanden ^^'

[urishima]

Das was dir installiert werden soll ist wahrscheinlich Version 7 Update 11, in der das Loch gestopft sein soll.

[Voodooslove]

Wo kann man das nachlesen? Denn als ich nun bei details usw gklickt hab, stand version 3?

[Aica]

Wieso kommt bei mir kein Update mehr? xD

Und wieso habe ich 32bit oO

Ah,konnte es nun manuel starten.. das letzte war am 9.1.
und im Controlpanel ist aktiviert, dass es automatisch gemacht werden sollte...

[Adama]

(15.01.2013)Voodooslove schrieb:  Wo kann man das nachlesen? Denn als ich nun bei details usw gklickt hab, stand version 3?

Java updates immer auführen... genauso wie flash player und alle andern browser plugins wenn sicherheitslücken bekannt werden das plugin deaktiviren (firefox : add ons /plugins /deaktivieren) da kann man auch die plugins überprüfen lassen wenn man erfährt das ein update verfügbar ist dann das update instalieren und das plugin wieder aktiviren. (bei anderen browsern musst du jemand anderen fragen)
Java updates nie abrechen meistens werden sicherheitlücken geschlossen nur selten neue geöfnet (und selbst wenn das wird erst später bekannt)

[urishima]

(15.01.2013)Voodooslove schrieb:  Wo kann man das nachlesen? Denn als ich nun bei details usw gklickt hab, stand version 3?

http://www.heise.de/newsticker/meldung/O...82915.html

https://www.bsi.bund.de/ContentBSI/Press...12013.html

Wenn bei euch das Update nicht auftaucht, deinstalliert java am besten malm und ladet euch direkt von oracle die neueste Version runter.

Ich werde aber selber noch etwas warten. Nicht dass sich hier neue Sicherheitslücken aufgetan haben.