Forscher: Schwerwiegender Fehler in Java Runtime Environment für Desktops, Server

Java - Schwachstellen - Jäger des polnischen Sicherheitsforschungsunternehmens Security Explorations behaupten, eine neue Schwachstelle gefunden zu haben, die die neuesten Desktop - und Serverversionen von Java betrifft die Java Runtime Environment (JRE).

Die Schwachstelle befindet sich in der Reflection API-Komponente von Java und kann verwendet werden, um die Java-Sicherheits-Sandbox vollständig zu umgehen und beliebigen Code auf Computern auszuführen, sagte Adam Gowdiak, CEO von Security Explorations, am Montag in eine E-Mail an die Full Disclosure-Mailingliste. Der Fehler betrifft alle Versionen von Java 7, einschließlich Java 7 Update 21, das am vergangenen Dienstag von Oracle veröffentlicht wurde, und das neue Server JRE-Paket, das gleichzeitig veröffentlicht wurde.

Wie der Name schon sagt, ist die Server JRE eine Version der Java Runtime Environment für Java Server Bereitstellungen. Laut Oracle enthält die Server-JRE nicht das Java-Browser-Plug-in, ein häufiges Ziel für webbasierte Exploits, die Auto-Update-Komponente oder das Installationsprogramm im regulären JRE-Paket.

[Weitere Informationen: Wie? Malware von Ihrem Windows-PC entfernen]

Obwohl Oracle weiß, dass Java-Sicherheitslücken auch bei Serverbereitstellungen ausgenutzt werden können, indem bösartige Eingaben in APIs (Anwendungsprogrammierschnittstellen) in gefährdeten Komponenten bereitgestellt werden, war seine Nachricht im Allgemeinen die Mehrheit von Java Sicherheitslücken betreffen nur das Java-Browser-Plug-In, oder die Auswertungsszenarien für Java-Fehler auf Servern sind unwahrscheinlich, sagte Gowdiak am Dienstag per E-Mail.

"Wir haben versucht, Benutzer darauf aufmerksam zu machen, dass die Behauptungen von Oracle in Bezug auf die Auswirkungen von Java falsch waren SE-Schwachstellen ", sagte Gowdiak. "Wir haben bewiesen, dass die von Oracle bewerteten Fehler, die nur das Java-Plug-in betreffen, auch Server betreffen."

Security Explorations hat im Februar einen Proof-of-Concept-Exploit für eine Java-Schwachstelle veröffentlicht, die als Plug-in klassifiziert ist. Englisch: www.openbsd.dk/faq/pf//queueing.html, das verwendet werden könnte, um Java auf Servern mit dem RMI - Protokoll (remote method invocation) anzugreifen, sagte Gowdiak. Oracle habe letzte Woche den RMI-Angriffsvektor im Java-Update angesprochen, aber es gebe noch andere Methoden, Java-Bereitstellungen auf Servern anzugreifen.

Sicherheitsforscher haben die erfolgreiche Ausnutzung der neuen Schwachstelle, die sie gegen Server JRE gefunden haben, nicht verifiziert. Sie listeten jedoch bekannte Java-APIs und -Komponenten auf, mit denen nicht vertrauenswürdiger Java-Code auf Servern geladen oder ausgeführt werden konnte.

Wenn in einer der in Richtlinie 3-8 der "Secure Coding Guidelines for a Java" genannten Komponenten ein Angriffsvektor vorhanden ist Programmiersprache, "Java-Server-Bereitstellungen können durch eine Schwachstelle angegriffen werden, wie sie am Montag an Oracle gemeldet wurde", sagte Gowdiak.

Der Forscher hatte Probleme mit der Implementierung und Überprüfung der Reflection-API für Sicherheitsprobleme in Java 7 aufgrund der Komponente war bisher die Quelle mehrerer Schwachstellen. "Die Reflection-API passt nicht sehr gut zum Java-Sicherheitsmodell und bei unsachgemäßer Verwendung kann es leicht zu Sicherheitsproblemen führen", sagte er.

Dieser neue Fehler ist ein typisches Beispiel für eine Schwachstelle bei Reflection API, sagte Gowdiak. Diese Sicherheitsanfälligkeit sollte in Java 7-Code ein Jahr nach der Meldung eines allgemeinen Sicherheitsproblems in Bezug auf die Reflection-API an Oracle durch Security Explorations nicht vorhanden sein, sagte er.