Skip to main content

Neue Schwachstelle in Java 7 öffnet Tür zu 10-jährigem Angriff, sagen Forscher

Sicherheitsforscher des polnischen Sicherheitsforschungsunternehmens Security Explorations behaupten, in Java 7 eine neue Sicherheitslücke entdeckt zu haben, die es Angreifern ermöglichen würde, das System zu umgehen Software-Sicherheits-Sandbox und Ausführen von beliebigem Code auf dem zugrunde liegenden System.

Die Sicherheitslücke wurde am Donnerstag an Oracle zusammen mit Proof-of-Concept (PoC) Exploit-Code gemeldet, sagte Adam Gowdiak, der CEO und Gründer von Security Explorations, in einer Nachricht in der Full Disclosure Mailingliste.

Laut Gowdiak befindet sich die Schwachstelle in der Reflection API (Anwendungsprogrammierschnittstelle), einer Funktion, die in Java 7 eingeführt wurde und die Quelle des Menschen ist y kritische Java-Sicherheitslücken bisher. Security Explorations bestätigte, dass sein PoC-Exploit-Code gegen Java SE 7 Update 25 und frühere Versionen arbeitet, sagte er.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Das von Security Explorations erkannte neue Problem kann dies ermöglichen Hacker, um einen "klassischen" Angriff zu implementieren, der seit mindestens 10 Jahren bekannt ist, sagte Gowdiak.

Diese Art von Angriff verwendete die Java virtuelle Maschine (VM) in seinen frühen Tagen, in den späten neunziger Jahren, er sagte per E-Mail.

"Es ist eines dieser Risiken, vor dem man sich schützen sollte, wenn neue Funktionen auf Java-Ebene auf VM-Ebene hinzugefügt werden", sagte Gowdiak. Es ist überraschend festzustellen, dass ein Schutz gegen diese Art von Angriff nicht für die Reflection-API implementiert wurde, als Java 7 entwickelt wurde.

Der Forscher behauptet, dass die Schwachstelle es Angreifern erlaubt, gegen eine grundlegende Java-VM-Sicherheitsfunktion zu verstoßen Sicherheit seines Typsystems.

"Als Ergebnis des Angriffs kann man beliebige Cast-Operationen zwischen Java-Datentypen wie einer Ganzzahl und einem Zeiger ausführen", sagte er per E-Mail. "In Java müssen Cast-Operationen strengen Regeln folgen, so dass auf den Speicher auf sichere Weise zugegriffen wird."

Gowdiak hat die Implementierung der Reflection-API in der Vergangenheit kritisiert und gesagt, dass das Feature nicht zu sein scheint einer gründlichen Sicherheitsüberprüfung unterzogen.

Er glaubt, dass das Vorhandensein dieser neuen Sicherheitslücke in Java 7 Fragen über die Wirksamkeit der Software-Sicherheitsprüfung und der Sicherheitscode-Überprüfungspraktiken von Oracle aufwirft. "Ein riesiger Haufen von Fehlern wird von diesen Richtlinien und Verfahren nicht erkannt", sagte er.

Ende Mai bestätigte Nandini Ramani, Vice President of Engineering bei Oracle für den Java-Client und die Mobile Plattformen, in einem Blogbeitrag des Unternehmens Verpflichtung zur Stärkung der Sicherheit von Java.

"Das Java-Entwicklungsteam hat den Einsatz automatisierter Sicherheitstest-Tools erweitert, die eine regelmäßige Abdeckung über große Teile des Java-Plattform-Codes ermöglichen", sagte Ramani seinerzeit. Das Team arbeitete mit Oracles primärem Anbieter von Quellcode-Analyse-Services zusammen, um diese Tools in der Java-Umgebung effektiver zu machen, und entwickelte sogenannte "Fuzzing" -Analyse-Tools, um bestimmte Arten von Schwachstellen auszumerzen.

"Hochentwickelte Analyse Werkzeuge sollten nicht einfach Reflection API Mängel vermissen ", sagte Gowdiak. "Das sollte für sich selbst sprechen."