Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

(Not only) Oracle Java Windows installer vulnerable

9. Februar 2016

Oracle hat einen Out-of-Band Patch für Java 6, 7 und 8 für Windows veröffentlicht, mit dem eine Sicherheitslücke im Installationsprozess geschlossen wird. Es sind dazu bereits zahlreiche Medienberichte erschienen, in denen allerdings häufig die Tatsache ausser acht gelassen wird, dass es sich hier nicht um eine Java-spezifische Schwachstelle handelt.

Das Problem - Stichwort "Binary Planting" - ist bereits seit Jahren bekannt, und besteht darin, dass viele Windows (executable) Installer in ihrem "Anwendungsverzeichnis" nach benötigten DLLs suchen. Bei Software, die mit einem Webbrowser heruntergeladen wurde, ist dieses "Application Directory" in der Regel der "Downloads"-Ordner. Gelingt es einem Angreifer, den Benutzer zum Download einer manipulierten DLL mit dem "richtigen" Namen zu bringen, so wird ein Installer, der nach einer Library dieses Namens sucht, diese laden und ausführen.

Der Sicherheitsforscher Stefan Kanthak beschreibt das Problem (für die Installer von Oracle Java und Virtualbox) auf SecurityFocus. Zahlreiche weitere Beispiele für von Kanthak entdeckte verwundbare Installer finden sich auf Packet Storm. Einem Bericht auf SecurityWeek.Com zufolge sind zahlreiche namhafte Softwarehersteller betroffen, von denen viele das Problem (noch) nicht behoben haben.

Als Schutzmassnahme empfiehlt ein Artikel auf CIO einen "aufgeräumten" "Downloads"-Ordner, Oracle selbst weist darauf hin, dass Java nur von Java.com bezogen sollte.

Generell ist es ratsam, Programme nur aus vertrauenswürdigen Quellen zu installieren, sowie nicht mehr benötigte Software zu deinstallieren - das gilt auch für Oracle Java.

Autor: Stephan Richter

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Update: "Zero-Day" Sicherheitslücke in Adobe Flash Player - aktiv ausgenützt - Patches verfügbar
7. Juni 2018 | Update: ...
Kritische Sicherheitslücken in Adobe Acrobat, Adobe Reader und Adobe Photoshop CC - Patches verfügbar
15. Mai 2018 | Beschreibung Adobe ...
mehr ...
In eigener Sache: CERT.at sucht Verstärkung
5. Juni 2018 | Für unsere ...
NIS Update
15. Mai 2018 | Am 9. ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2016/2/9 - 11:36:39
Haftungsausschluss / Datenschutzerklärung