Eine Schwachstelle in der Java Runtime Environment für Microsoft
Windows Plattformen kann von einem Angreifer dazu ausgenutzt werden,
beliebigen Programmcode mit den Privilegen des Benutzers der
aufrufenden Applikation auf dem beherbergenden Rechnersystem
auszuführen.
Betroffene Systeme
* Java Web Start in JDK und JRE 5.0 Update 11 und frühere Versionen
für Microsoft Windows
* Java Web Start in SDK und JRE 1.4.2_13 und frühere Versionen für
Microsoft Windows
Nicht betroffene Systeme
* Java Web Start in JDK und JRE 6
* Java Web Start in JDK und JRE für Solaris
* Java Web Start in JDK und JRE für GNU/Linux
Einfallstor
Java-Applet
Angriffsvoraussetzung
Benutzerinteraktion
(user interaction)
Ein Benutzer muss ein entsprechend präpariertes Java-Applet mit einer
verwundbaren Version von Web Start ausführen. In typischen Szenarien
werden Java-Applets in Webseiten eingebunden und bei Aufruf der Seiten
durch einen Browser ausgeführt. Da mittlerweile sehr viele Web-Angebote
Applets verwenden, ist es Usus, dass Browser Java-Applets automatisch
ausführen.
Angriffssvektorklasse
mittelbar über eine Netzwerkverbindung
(mediately remote)
Auswirkung
schreibender Zugriff auf beliebige Dateien auf dem beherbergenden
Rechnersystem mit den Privilegien der Java aufrufenden Applikation und
in der Folge Ausführung beliebigen Programmcodes mit den Privilegien
des aufrufenden Benutzers auf dem beherbergenden Rechnersystem.
(user compromise)
Typ der Verwundbarkeit
unbekannt
Gefahrenpotential
hoch
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)
Beschreibung
Eine Schwachstelle in Java Web Start für Microsoft Windows kann von
einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den
Privilegen des Benutzers der aufrufenden Applikation auf dem
beherbergenden Rechnersystem auszuführen. Verwundbare Java Web Start
Versionen sind im JDK und JRE bis 5.0 Update 11 sowie SDK und JRE bis
1.4.2_13 enthalten.
Die Schwachstelle ermöglicht es einem Angreifer, schreibenden Zugriff
auf beliebige Dateien mit den Privilegien des aufrufenden Prozesses zu
erlangen. Dies kann z.B. ein Browser sein. Der schreibende Zugriff
erstreckt sich auch auf die java.policy-Datei, die so umkonfiguriert
werden kann, dass beliebige Kommandos oder Applikationen sowie zuvor
auf das System verbrachter Programmcode ausgeführt werden können.
Zur erfolgreichen Ausnutzung der Schwachstelle ist es erforderlich, ein
entsprechend präpariertes Java-Applet auszuführen. In einem typischen
Szenario werden Java-Applets automatisch durch Web-Browser ausgeführt,
so dass es lediglich erforderlich ist, z.B. ein ensprechend
präpariertes Java-Applet in eine Webseite zu integrieren, die von dem
Opfer besucht werden muss.
Workaround
Das automatische Ausführen von Java-Applets in Webbrowsern sollte durch
eine entsprechende Konfiguration derselben unterbunden werden.
Gegenmaßnahmen
* Installation von [2]Java Web Start in JDK und JRE 5.0 Update 12
* Installation von [3]Java Web Start in SDK und JRE 1.4.2_14
Vulnerability ID
* Bislang ist kein CVE-Name vergeben
* Sun Bug-ID 6499357
Weitere Information zu diesem Thema
* [4]Java Web Start
Aktuelle Version dieses Artikels
[5]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1387
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2007 RUS-CERT, Universität Stuttgart,
[6]http://CERT.Uni-Stuttgart.DE/
References
1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
2. http://java.sun.com/j2se/1.5.0/download.jsp
3. http://java.sun.com/j2se/1.4.2/download.html
4. http://www.java.com/de/download/faq/java_webstart.xml
5. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1387
6. http://CERT.Uni-Stuttgart.DE/
----------------------------------------------------------------------
Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Aut...@Lists.CERT.Uni-Stuttgart.DE