VulDB: Oracle Java SE/JRE AtomicReferenceArray Sandbox Pufferüberlauf
Allgemein
scipID: 5000
Betroffen: Oracle Java SE/JRE
Veröffentlicht: 14.02.2012
Risiko: 
sehr kritisch
Eintrag: 100% komplett
Erstellt: 03.04.2012
Aktualisiert: 03.09.2012
Beschreibung
Eine sehr kritische Schwachstelle wurde in Oracle Java SE sowie JRE gefunden. Es betrifft eine unbekannte Funktion der Komponente AtomicReferenceArray Sandbox. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Damit lässt sich Programmcode ausführen. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 14.02.2012 veröffentlicht. Auf blogs.technet.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 11.01.2012 als CVE-2012-0507 statt. Die Schwachstelle ist sehr beliebt, und dies trotz ihrer hohen Komplexität. Der Angriff kann über das Netzwerk passieren. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Diese Schwachstelle gilt aufgrund ihrer speziellen Ausprägung als historisch interessant. Nachdem die Schwachstelle breitflächig zur Errichtung eines Botnet mittels MacOS X ausgenutzt wurde, haben wir das Risiko auf die höchste Stufe angehoben. Mikko Hypponen, Chief Research Officer bei F-Secure, verglich die Ausmasse dieses Wurms mit denen von Blaster für Windows-Umgebungen.
Ein Exploit wurde in Java entwickelt und 2 Monate nach dem Advisory veröffentlicht. Er wird als Stable gehandelt und gilt gemeinhin als sehr zuverlässig. Aufgrund der automatisierten Ausnutzung der Schwachstelle gibt es mittlerweile einen Wurm, der sich diese zunutze macht. Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 58130 (USN-1373-1 : openjdk-6 vulnerabilities) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. (Metasploit ID: 80724)
Als bestmögliche Massnahme wird das Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Oracle hat demnach sofort reagiert. Als generelle Massnahme wird das Deaktivieren von Java empfohlen. Apple selbst stand tagelang in der Kritik, weil sie keinen direkten Fix für die mitgelieferte Java-Version bereitzustellen bereit war. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (80724), Secunia (SA48692), SecurityFocus (BID 52161), SecurityTracker (ID 1026724) und X-Force (72513) dokumentiert. Ein Bericht in deutscher Sprache wird mitunter durch Heise bereitgestellt.CVSS
Base Score: 8.5 (CVSS2#AV:N/AC:M/Au:S/C:C/I:C/A:C) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Pufferüberlauf
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: öffentlich
Status: Stable
Wormified: Ja
Zuverlässigkeit: 98%
Programmiersprache: Java
Nessus ID: 58130
Nessus Name: USN-1373-1 : openjdk-6 vulnerabilities
Nessus Risk: –
Exploit-DB: 18679
Gegenmassnahmen
Empfehlung: Patch
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Exploit Delay Time: 43 Tage seit bekannt
Timeline
11.01.2012 | CVE zugewiesen
14.02.2012 | Advisory veröffentlicht
14.02.2012 | Gegenmassnahme veröffentlicht
28.03.2012 | Exploit veröffentlicht
31.03.2012 | OSVDB Eintrag erstellt
03.04.2012 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: blogs.technet.com
OSVDB: 80724
CVE: CVE-2012-0507 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 48692
SecurityFocus: 52161
SecurityTracker: 1026724
X-Force: 72513
Heise: 1500692
Diverses: news.drweb.com
