VulDB: Oracle Java SE/JRE bis 7 Update 6 SunToolkit rt.jar setAccessible() erweiterte Rechte
Allgemein
scipID: 6014
Betroffen: Oracle Java SE/JRE bis 7 Update 6
Veröffentlicht: 10.08.2012 (Mark Wuergler (@MarkWuergler))
Risiko: 
sehr kritisch
Eintrag: 100% komplett
Erstellt: 28.08.2012
Aktualisiert: 26.12.2012
Beschreibung
Eine sehr kritische Schwachstelle wurde in Oracle Java SE sowie JRE bis 7 Update 6 entdeckt. Betroffen davon ist die Funktion setAccessible() der Datei rt.jar der Komponente SunToolkit. Mittels Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Damit lässt sich Programmcode ausführen. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 10.08.2012 durch Mark Wuergler (@MarkWuergler) von Immunity, Inc. in Form eines Tweets (Twitter) veröffentlicht. Auf twitter.com kann das Advisory eingesehen werden. Die Herausgabe geschah hierbei ohne Zusammenarbeit mit dem Hersteller. Die Firma FireEye publizierte einen Blog-Post mit dem Titel “Zero-Day Season is not over yet”. Er beginnt mit den Worten: “New Java zero-day vulnerability has been spotted in the wild. We have seen this unpatched exploit being used in limited targeted attacks.” Oracle bedankt sich unter anderem bei dem Sicherheitsexperten Adam Gowdiak für das Aufspüren der Lücken. Die Identifikation der Schwachstelle findet seit dem 27.08.2012 als CVE-2012-4681 statt. Die Schwachstelle ist relativ beliebt, und dies trotz ihrer hohen Komplexität. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. Historisch interessant ist diese Schwachstelle mitunter wegen ihrer speziellen Ausprägung.
Ein Exploit wurde durch jduck in Java programmiert und 3 Wochen nach dem Advisory veröffentlicht. Er wird als Stable gehandelt und gilt gemeinhin als sehr zuverlässig. Der Exploit wird unter pastie.org bereitgestellt. Dabei muss 150 Tage als nicht veröffentlichten Zero-Day Schwachstelle ausgegangen werden. Die automatisierte Ausnutzung der Schwachstelle kann durch einen dafür entwickelten Computerwurm geschehen. Mark Wuergler schreibt auf Twitter: “VulnDisco SA CANVAS exploit pack has a new Java 0-day. It has been tested on Windows 7 with IE, Opera and Firefox.” (https://www.virustotal.com/file/09d10ae0f763e91982e1c276aad0b26a575840ad986b8f53553a4ea0a948200f/analysis/)
Ein Upgrade auf die Version 7 Update 7 vermag dieses Problem zu beheben. Eine neue Version kann von java.com bezogen werden. Die Schwachstelle lässt sich auch durch das Einspielen eines Patches beheben. Dieser kann von deependresearch.org bezogen werden. Das Problem kann zusätzlich durch den Einsatz von Microsoft Silverlight oder Adobe Flash als alternatives Produkt mitigiert werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen. Das Erscheinen einer Gegenmassnahme geschah 3 Wochen nach der Veröffentlichung der Schwachstelle. Oracle hat demnach knapp im Rahmen reagiert. Wer Java auf seinem System installiert hat, sollte die neue Java-Version umgehend installieren. DeepEnd Research bietet auf Anfrage einen inoffiziellen Patch an. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (84867), Secunia (SA50133), SecurityFocus (BID 55213), SecurityTracker (ID 1027447) und X-Force (77972) dokumentiert. Heise diskutiert den Sachverhalt in deutscher Sprache.Screenshot
CVSS
Base Score: 9.3 (CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Erweiterte Rechte
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: öffentlich
Status: Stable
Wormified: Ja
Zuverlässigkeit: 90%
Programmiersprache: Java
Autor: jduck
Download: pastie.org
Exploit-DB: 20865
Gegenmassnahmen
Empfehlung: Upgrade
Reaction Time: 150 Tage seit gemeldet
0-Day Time: 150 Tage seit gefunden
Exposure Time: 20 Tage seit bekannt
Exploit Delay Time: 17 Tage seit bekannt
Upgrade: Java SE/JRE 7 Update 7
Patch: deependresearch.org
Alternative: Microsoft Silverlight/Adobe Flash
Timeline
02.04.2012 | Hersteller informiert
10.08.2012 | Advisory veröffentlicht
27.08.2012 | Exploit veröffentlicht
27.08.2012 | CVE zugewiesen
28.08.2012 | OSVDB Eintrag erstellt
28.08.2012 | VulDB Eintrag erstellt
30.08.2012 | Gegenmassnahme veröffentlicht
26.12.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: twitter.com
Person: Mark Wuergler
Firma: Immunity, Inc.
Bestätigung: oracle.com
OSVDB: 84867
CVE: CVE-2012-4681 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 50133
SecurityFocus: 55213
SecurityTracker: 1027447
X-Force: 77972
Heise: 1675454
Diverses: nakedsecurity.sophos.com
- Letzte Einträge
- EMC RSA Authentication API Encryption Key Information Disclosure
- Cisco Secure Access Control System Web Interface schwache Authentisierung
- Python ssl.match_hostname() Denial of Service
- Mozilla Firefox/Thunderbird nsContentUtils::RemoveScriptBlocker Pufferüberlauf
- Mozilla Firefox/Thunderbird nsFrameList::FirstChild Pufferüberlauf
- Statistiken
- Archiv
