Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

(Not only) Oracle Java Windows installer vulnerable

9. Februar 2016

Oracle hat einen Out-of-Band Patch für Java 6, 7 und 8 für Windows veröffentlicht, mit dem eine Sicherheitslücke im Installationsprozess geschlossen wird. Es sind dazu bereits zahlreiche Medienberichte erschienen, in denen allerdings häufig die Tatsache ausser acht gelassen wird, dass es sich hier nicht um eine Java-spezifische Schwachstelle handelt.

Das Problem - Stichwort "Binary Planting" - ist bereits seit Jahren bekannt, und besteht darin, dass viele Windows (executable) Installer in ihrem "Anwendungsverzeichnis" nach benötigten DLLs suchen. Bei Software, die mit einem Webbrowser heruntergeladen wurde, ist dieses "Application Directory" in der Regel der "Downloads"-Ordner. Gelingt es einem Angreifer, den Benutzer zum Download einer manipulierten DLL mit dem "richtigen" Namen zu bringen, so wird ein Installer, der nach einer Library dieses Namens sucht, diese laden und ausführen.

Der Sicherheitsforscher Stefan Kanthak beschreibt das Problem (für die Installer von Oracle Java und Virtualbox) auf SecurityFocus. Zahlreiche weitere Beispiele für von Kanthak entdeckte verwundbare Installer finden sich auf Packet Storm. Einem Bericht auf SecurityWeek.Com zufolge sind zahlreiche namhafte Softwarehersteller betroffen, von denen viele das Problem (noch) nicht behoben haben.

Als Schutzmassnahme empfiehlt ein Artikel auf CIO einen "aufgeräumten" "Downloads"-Ordner, Oracle selbst weist darauf hin, dass Java nur von Java.com bezogen sollte.

Generell ist es ratsam, Programme nur aus vertrauenswürdigen Quellen zu installieren, sowie nicht mehr benötigte Software zu deinstallieren - das gilt auch für Oracle Java.

Autor: Stephan Richter

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Sicherheitslücken (teils kritisch) in Juniper ATP, Junos OS und Space OS Software - Patches verfügbar
11. Jänner 2019 | Beschreibung Der ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
4. Jänner 2019 | Beschreibung Adobe ...
mehr ...
Datenleak - mal ganz ohne Hype
11. Jänner 2019 | Man ...
DNS-Blacklists und Neujahrsvorsätze
2. Jänner 2019 | Die ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2016/2/9 - 11:36:39
Haftungsausschluss / Datenschutzerklärung