Sicherheitsforscher warnen vor Zero-Day-Lücke in Java

Zwei Sicherheitsforscher haben vor einer Zero-Day-Lücke in Java gewarnt, die Nutzer von Windows-Betriebssystemen betrifft. Ein Angreifer kann die Schwachstelle ausnutzen, um die Kontrolle über einen Computer zu übernehmen. Dafür muss ein Anwender lediglich auf eine manipulierte Website gelockt werden.

Der Google-Ingenieur Tavis Ormandy und Ruben Santamarta, Entwickler bei Wintercore, haben die Lücke Ende vergangener Woche unabhängig voneinander entdeckt und Details zu der Codeanfälligkeit in der Mailingliste „Full Disclosure“ beziehungsweise in einem Blogeintrag veröffentlicht. Demnach steckt ein Fehler im zum Java-Plug-in gehörenden Java Web Start Utility. Die Datei „javaws.exe“ werde ausgeführt, ohne Befehlszeilenparameter zu überprüfen. „Die Werkzeugsammlung bietet nur eine minimale Gültigkeitsprüfung für URL-Parameter, was es uns erlaubt, schädliche Parameter an das Java Web Start Utility weiterzugeben“, schreibt Ormandy.

Die Anfälligkeit tritt in der Java Standard Edition 6 (Java SE) seit Update 10 und unter allen unterstützten Versionen von Windows auf. Sie betrifft laut Kaspersky alle wichtige Browser, darunter Firefox, Internet Explorer und Chrome. Ormandy zufolge bietet eine Deaktivierung des Java-Plug-ins keinen Schutz vor einem Angriff, da Java Web Start unabhängig vom Plug-in installiert wird. Für Nutzer von Internet Explorer und Firefox beschreibt der Entwickler in der Mailingliste ein Workaround.

Ormandy hat sich nach eigenen Angaben dazu entschlossen, Details zu der Schwachstelle zu veröffentlichen, da der Fehler sehr leicht entdeckt werden könne. Sun Microsystems sei über die Sicherheitslücke informiert. „Sie haben mir mitgeteilt, dass sie das Risiko der Schwachstelle als nicht so hoch einstufen“. Das Unternehmen plane derzeit kein Update außer der Reihe.

Nach der Übernahme durch Oracle hat Sun scheinbar Oracles dreimonatlichen Patch-Zyklus übernommen. Das letzte planmäßige Update erschien am 31. März 2010.