Zero-Day-Lücke in jüngster Java-Version entdeckt

Sicherheitsforscher berichten von einer Zero-Day-Lücke, die mit Java Runtime Environment 7 die aktuellste Version der Java-Laufzeitumgebung gefährdet. Die Zero-Day-Saison sei damit noch nicht vorbei, kommentiert Atif Mushtaq von FireEye in einem Blogeintrag.

„Die kürzlichen Java-Runtime-Environments wie JRE 1.7x sind anfällig“, berichtet er. „In meiner Laborumgebung konnte ich den Exploit erfolgreich auf einem Testcomputer ausführen, auf dem Firefox mit JRE 1.7 Update 6 installiert war.“

Der ursprünglich entdeckte Exploit war auf einer Domain namens ok.XXX4.net gehostet, die auf eine IP-Adresse in China verwies. Eben diese Adresse war schon zuvor durch die Verteilung anderer Formen von Malware aufgefallen. Derzeit reagiert der Server nicht auf Browseranfragen, ist aber noch immer am Netz.

Ein bösartiges Applet nutzt die Zero-Day-Lücke aus, sorgt für den Download einer sogenannten Dropper-Anwendung (Dropper.MsPMs) vom gleichen Server und ihre Installation auf dem System. Laut Mushtaq nimmt der Dropper anschließend Verbindung zu einem Kommando- und Kontrollserver in Singapur auf, was grundsätzlich dazu führen könnte, die kompromittierten Rechner in Drohnen eines Botnets zu verwandeln.

Das Malware Intelligence Lab von FireEye rechnet damit, dass früher oder später Proof-of-Concept-Code veröffentlicht wird und weitere Übeltäter die Schwachstelle ausnützen können. Das scheint sogar schon geschehen zu sein, da ZDNet Australia funktionsfähigen Code zu sehen bekam, der in seinen Kommentaren direkten Bezug auf Mushtaqs Blogeintrag nahm.

Da die jüngste Java-Laufzeitumgebung betroffen ist (aktuell Version 7 Update 6), ist der Gefährdung zunächst nur durch eine vorübergehende Deaktivierung oder Deinstallation von Java zu entgehen. „Es wird spannend zu beobachten sein, wann Oracle einen Patch bereitstellen will“, schreibt Mushtaq. „Bis dahin sind die meisten Java-Nutzer dem Risiko eines Exploits ausgesetzt.“

[mit Material von Michael Lee, News.com]