Exploit-Kits nutzen Zero-Day-Lücke in Java

Beliebte Exploitation Kits – kommerzielle Baukästen für Malware – haben eine Lücke in Java ausgenutzt, bevor ein Patch erschienen war. Dies meldet M86Security. Beispielsweise Phoenix 3.0 und Blackhole Exploit Kit 1.2.1 enthielten einen Angriff über die ungepatchte Schwachstelle, was ungewöhnlich ist. Solche Exploitation Kits setzen sonst eher auf ältere Lücken, für die Patches zwar verfügbar sind, aber die viele Nutzer nicht eingespielt haben.

Die Lücke hatte Sicherheitsforscher Michael Schierl vor einigen Wochen beschrieben. Sie ähnelt anderen Java-Schwachstellen, bei denen nicht vertrauenswürdiger Code mit erweiterten Rechten ausgeführt wird. Über die Javscript-Engine Rhino lässt sich der Security Manager ausschalten und anschließend Code mit allen Rechten ausführen. Dies funktioniert plattformübergreifend, sodass die Lücke sich besonders effizient missbrauchen lässt.

M86Security kommentiert, dass sich die Autoren der Malware-Baukästen offenbar beeilt hätten, die Schwachstelle in ihr Repertoire aufzunehmen. Sie seien immerhin schneller gewesen als der Java-Anbieter – also Oracle – mit seinem Patch.

In seinem eigenen Produkt M86 Secure Web Gateway hat der Sicherheitsanbieter einen Schutz vor dem Exploit eingebaut. Allgemein empfiehlt er, Java stets auf dem neuesten Stand zu halten – oder abzuschalten, falls es nicht benötigt wird. Seit Kurzem ist in Form von Java 6 Update 29 und Java 7 Update 1 auch eine Sicherheitsaktualisierung erhältlich.