Zero-Day-Lücke in Java betrifft auch Mac OS X

Die seit dem Wochenende bekannte Zero-Day-Lücke in der Java Runtime Environment 7 (JRE) lässt sich nach neuen Erkenntnissen von Sicherheitsforschern nicht nur unter Windows, sondern auch unter Linux und Mac OS X und mit jedem erhältlichen Browser ausnutzen. Das hat einem Bericht von Computerworld zufolge Tod Beardsley festgestellt, Engineering Manager des Malware-Werkzeugkastens Metasploit.

David Maynor, CTO von Errata Security, hat bestätigt, dass auch Mac OS X 10.8 Mountain Lion anfällig ist. „Der Exploit funktioniert unter OS X, wenn JRE 1.7 installiert ist“, schreibt Maynor in einem Update zu einem früheren Blogeintrag. Er habe die Anfälligkeit mit dem Metasploit-Code mit Firefox 14 und Safari 6 ansprechen können. JRE 1.7 ist die aktuellste Version von Java 7. Sie steht seit Anfang des Monats zur Verfügung.

„Besonders beunruhigend ist, dass die Schwachstelle möglicherweise schon in naher Zukunft von anderen Malware-Entwicklern ausgenutzt wird“, schreibt Intego, ein auf Mac OS spezialisierter Anbieter von Antivirensoftware, in seinem Blog. „Java-Applets waren in diesem Jahr Bestandteil des Installationsprozesses fasst aller Malware-Attacken auf OS X.“

Anfang des Jahres hatte der Flashback-Trojaner zeitweise mehrere Hunderttausend Macs infiziert. Der Schädling nutzte eine Java-Lücke aus, die Apple zu dem Zeitpunkt noch nicht gepatcht hatte. Apple hatte daraufhin begonnen, veraltete Java-Versionen zu blockieren.

Seit der Einführung von Mac OS X 10.7 Lion ist Java kein fester Bestandteil mehr von Apples Desktop-Betriebssystem. Nutzer können die Laufzeitumgebung aber weiterhin installieren, beispielsweise wenn ein Browser auf ein Applet trifft, das die Oracle-Software benötigt. Für Nutzer von Mac OS X 10.6 Snow Leopard und 10.5 Leopard ist das Risiko sogar noch größer, da beide Betriebssysteme ab Werk mit Java ausgeliefert wurden.

Die Verantwortung für ein Update für die Zero-Day-Lücke liegt allein bei Oracle. Apple liefert lediglich Patches für Java 6. „Die Schwachstelle steckt nicht in Java 6, sie ist in neuen Funktionen von Java 7“, sagte Beardsley.

Da die jüngste Java-Laufzeitumgebung betroffen ist (aktuell Version 7 Update 6), ist der Gefährdung zunächst nur durch eine vorübergehende Deaktivierung oder Deinstallation von Java zu entgehen. „Es wird spannend zu beobachten sein, wann Oracle einen Patch bereitstellen will“, schreibt Atif Mushtaq von FireEye, der die Lücke als erstes beschrieben hat, in einem Blogeintrag. „Bis dahin sind die meisten Java-Nutzer dem Risiko eines Exploits ausgesetzt.“

Das nächste reguläre Java-Update hat Oracle für 16. Oktober angekündigt. Möglicherweise wird das Unternehmen das Loch schon vorher außer der Reihe stopfen.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.