Oracle über derzeit ausgenutzten Schwachstellen in Java monatelang wusste, sagt der Forscher

2013-12-30  |  Comebuy News

Oracle wusste seit April über die Existenz der zwei ungepatchten Java 7-Schwachstellen, die derzeit in der Malware-Angriffe ausgenutzt werden nach Adam Gowdiak, der Gründer und CEO von polnische Sicherheitsfirma Security Erkundungen.

Comebuy Verwandte Artikel: Ungepatchte Java in gezielte Angriffe, Forscher-SayJava-Schwachstellen, die zunehmend von Angreifern, gezielt ausgenutzt Sicherheitsanfälligkeit Forscher SayMacs Risiko "super gefährlich" Java-NULL-DaySix-Möglichkeiten, um aktiv gegen den neuen schützen Java VulnerabilityUnpatched Java-Schwachstelle ausgenutzt Blackhole-basierte Angriffe

Sicherheit Explorations berichteten 19 Java 7 Sicherheitsprobleme zu Oracle Apr. 2. Diese Fragen die zwei--ungepatchten--Zero-Day-Schwachstellen enthalten, die Angreifer ausnutzen, um Computer mit Malware zu infizieren, sagte Gowdiak Mittwoch per e-Mail.

Das Unternehmen weiter Bericht Java 7 Schwachstellen zu Oracle in den folgenden Monaten, bis die insgesamt 29 erreicht. "Wir bewiesen 16 voll Java SE 7 Sandbox Kompromisse mit dem Einsatz von unseren Fehlern," sagte Gowdiak.

Laut Sicherheitsexperten von Sicherheitsfirma Immunität, die Java-Exploit publiziert Anfang dieser Woche und integriert die Blackhole-Angriff-Toolkit nutzt zwei Java-Schwachstellen nicht ein, wie man früher glaubte.

"Die erste Fehler wurde verwendet, um einen Verweis auf die sun.awt.SunToolkit-Klasse zu erhalten, die zu Applets beschränkt, während der zweite Fehler die GetField öffentliche statische Methode auf SunToolkit mithilfe von Reflektion mit einer vertrauenswürdigen unmittelbare Aufrufer eine Sicherheitsüberprüfung umgehen ruft" Immunität Entwickler Esteban Guillardoy sagte am Dienstag in einem Blog-Post.

Während beide dieser Schwachstellen, in der ClassFinder-Klasse und in der MethodFinder-Klasse wurden gefunden und berichtet von Sicherheit Erkundungen im April, die Proof-of-Concept-Exploits geliefert von der Firma Oracle ihnen mit anderen Fehlern nicht miteinander kombiniert, Gowdiak sagte.

"Der Weg in die SunToolkit-Klasse und deren GetField-Methode wird verwendet, um eine komplette JVM [Java Virtual Machine] Sandbox umgehen zu erreichen ist unterschiedlich, was wir zu Oracle gezeigt haben", sagte Gowdiak.

Aus diesem Grund hält der Forscher der neue Exploit wahrscheinlich das Ergebnis von jemand anderem entdecken unabhängig voneinander die gleichen Schwachstellen, sondern als ein Verlust von Informationen irgendwo in dem behandelnden Prozess Schwachstelle.

Jedoch sagte nichts mit hundertprozentiger Sicherheit ausgeschlossen werden kann, Gowdiak. "Wir wissen nicht mit wem und was bilden oder detail, dass Oracle Schwachstelle Informationsaustausch."

Nach einem Statusbericht erhielt am Aug. 23 von Oracle plante das Unternehmen ansetzen, die zwei Sicherheitsanfälligkeiten in seiner Oktober Critical Patch Update (CPU), zusammen mit 17 anderen Java 7-Fehler gemeldet von Sicherheit Erkundungen, Gowdiak sagte.

Oracle veröffentlicht Sicherheits-Patches alle vier Monate. Die letzten Java-CPU erschien im Juni und nur bewältigt 3 der Sicherheitsprobleme von polnische Sicherheitsfirma gemeldet.

"Obwohl wir in Kontakt mit Oracle bleiben und der Kommunikationsprozess ganz makellos bislang war, wir wissen nicht, warum Oracle so viele schwerwiegende Bugs für die Okt.-CPU gegangen", sagte Gowdiak.

Sicherheit Explorations hat keine Änderungen im Oracles Patch Pläne im Moment, sagte Gowdiak. "Aber wir hoffen, dass sie aufstehen, um die Aufgabe und eine Java-CPU, die Sicherheitsprobleme schnellstmöglich beheben lassen."

Oracle hat eine Anforderung für eine Stellungnahme bezüglich der Sicherheitsberichte erhielt von Sicherheit Explorations nicht sofort zurückgegeben. Das Unternehmen hat entweder nicht öffentlich über die zwei aktiv ausgenutzten Schwachstellen kommentiert.

« Back