Schon wieder ein Zero-Day-Exploit in Java?

Wir wissen aktuell noch nicht, ob es ein schlechter Scherz ist, der Oracle bzw. Java diskreditieren soll, aber die Medien berichten zurzeit intensiv über eine neue, bisher unentdeckte Sicherheitslücke in Java.

Die Berichterstattung hatte ihren Ursprung in einem Beitrag des Sicherheitsexperten Brian Krebs, dem in einem bekannten Forum zum Thema Online-Kriminalität ein Thread auffiel, in dem jemand für 5.000 US-Dollar sein Wissen über diese Lücke an zwei Personen weiter verkaufen wollte (für ein Zero-Day-Exploit ist dies ein sehr geringer Betrag). Warum ausgerechnet an zwei Personen? Die Schwachstelle kann sich weiter verbreiten, wenn sie über längere Zeit von Sicherheitsunternehmen wie Avira nicht entdeckt wird. Wir haben bereits in einem früheren Beitrag erläutert, wie Sicherheitslücken heutzutage kommerziell ausgenutzt werden und wie man diese ordnungsgemäß veröffentlicht.

Egal, ob an den aktuellen Gerüchten etwas dran sein sollte, eines ist sicher: Oracle hat die letzte Zero-Day-Lücke sehr schnell beseitigt und einige Beobachter sind der Ansicht, dass damit nicht alle Probleme behoben wurden. Adam Gowdiak, CEO und Gründer des polnischen Unternehmens Security Explorations, meinte beispielsweise, dass Oracle nach wie vor alle Schwachstellen beseitigen müsse, die sein Unternehmen seit April 2012 (richtig, 2012!) gemeldet hat. Darüber hinaus hat er eine weitere Sicherheitslücke entdeckt, die „eine vollständige Umgehung der JVM-Sandbox-Umgebung der neuesten Java SE Software (Version 7, Update 7, veröffentlicht am 30. August 2012) ermöglicht. Grund hierfür ist eine neue Schwachstelle, die einige unserer bereits gemeldeten, jedoch seitens Oracle noch nicht behobenen Fehler erneut ausnutzt”, meinte Gowdiak.

Wir können nur mutmaßen, in welchem Dilemma sich Oracle jetzt befindet: 2010 hat das Unternehmen Sun Microsystems und damit Java übernommen, wahrscheinlich ohne zu wissen, wie anfällig der Code ist. Wie bei zahlreichen anderen Übernahmen haben vermutlich auch hier viele Entwickler und damit deren Wissen über Java das Unternehmen verlassen. Es ist richtig und verständlich, dass Oracle hauptsächlich Probleme behebt, die von den Medien aufgegriffen werden – allerdings ist Softwareentwicklung und insbesondere die Qualitätssicherung für Software etwas, was man nicht über Nacht in großer Eile umsetzen kann. Wir hoffen, dass Oracle sich die Zeit nimmt, den Code gründlich zu überprüfen und zu überarbeiten, damit die Entwicklung in Zukunft auf einer solideren Plattform erfolgen kann. Vorausgesetzt natürlich, dass die Zeit zwischen zwei Schwachstellen  zur Überarbeitung und Überprüfung des Codes ausreicht. Wenn die Dinge weiter wie in den vergangenen 16 Monaten laufen, befürchten wir, dass wir noch viele weitere Schwachstellen bei Java finden werden. Laut Oracle läuft Java auf mehr als 850.000 Rechnern und über drei Milliarden Geräten weltweit. Das entspricht unglaublich vielen Java-Codezeilen. Warum hat Oracle vor zwei Jahren nicht darüber nachgedacht?

Wir haben bereits im Vorfeld erläutert, warum ihr Java deaktivieren oder deinstallieren solltet, wenn ihr es nicht wirklich benötigt. Falls ihr Java unbedingt braucht, schlagen wir die Verwendung von zwei Browsern vor: einen mit aktiviertem Java-Plugin und einen ohne. Der Java-Browser sollte nur für die Anwendungen/Applets genutzt werden, die Java benötigen. Für das normale Surfen solltet ihr den Browser ohne Java verwenden. Eines noch: Aktualisiert Java bitte unbedingt, wenn ihr es bis heute noch nicht getan habt!

 

Sorin Mustaca

IT Sicherheitsexperte