Onderzoekers: Ernstige fout in Java Runtime Environment voor desktops, servers

Java-kwetsbaarheidjagers van het Poolse beveiligingsonderzoeksbureau Security Explorations beweren een nieuw beveiligingslek te hebben ontdekt dat gevolgen heeft voor de nieuwste desktop- en serverversies van de Java Runtime Environment (JRE).

Het beveiligingslek bevindt zich in de Reflection API-component van Java en kan worden gebruikt om de Java-beveiligingssandbox volledig te omzeilen en willekeurige code op computers uit te voeren, Adam Gowdiak, de CEO van Security Explorations, zei maandag in een e-mail verzonden naar de mailinglijst van Full Disclosure. De fout is van invloed op alle versies van Java 7, inclusief Java 7 Update 21 die afgelopen dinsdag door Oracle is uitgebracht en het nieuwe server-JRE-pakket dat op hetzelfde moment is uitgebracht.

Zoals de naam al doet vermoeden, is de Server JRE een versie van de Java Runtime Environment ontworpen voor Java-serverimplementaties. Volgens Oracle bevat Server JRE geen Java-browserinvoegtoepassing, een frequent doelwit voor op het web gebaseerde exploits, het onderdeel voor automatische updates of het installatieprogramma dat wordt aangetroffen in het normale JRE-pakket.

[Meer informatie: Hoe om malware van uw Windows-pc te verwijderen]

Hoewel Oracle zich ervan bewust is dat Java-kwetsbaarheden ook kunnen worden uitgebuit bij serverimplementaties door kwaadwillende invoer te leveren aan API's (application programming interfaces) in kwetsbare componenten, is de boodschap ervan over het algemeen geweest dat de meerderheid van Java kwetsbaarheden hebben alleen invloed op de Java-browserinvoegtoepassing of dat de exploitatiescenario's voor Java-fouten op servers onwaarschijnlijk zijn, zei Gowdiak dinsdag via e-mail.

"We hebben geprobeerd gebruikers bewust te maken dat de beweringen van Oracle onjuist waren met betrekking tot de impact van Java SE kwetsbaarheden, "zei Gowdiak. "We hebben aangetoond dat de door Oracle beoordeelde fouten die alleen de Java-invoegtoepassing beïnvloeden, ook van invloed kunnen zijn op servers."

In februari publiceerde Security Explorations een proof-of-concept-exploit voor een Java-beveiligingslek geclassificeerd als plug-in gebaseerd dat zou kunnen zijn gebruikt om Java aan te vallen op servers met behulp van het RMI-protocol (remote method invocation), zei Gowdiak. Oracle heeft vorige week de RMI-aanvalsvector in de Java-update behandeld, maar er zijn andere methoden om Java-implementaties op servers aan te vallen.

Beveiligingsverkenningen hebben onderzoekers niet geverifieerd voor de succesvolle benutting van de nieuwe kwetsbaarheid die ze tegen Server JRE hebben aangetroffen, maar ze vermeldden bekende Java API's en componenten die kunnen worden gebruikt om niet-vertrouwde Java-code op servers te laden of uit te voeren.

Als een aanvalsvector voorkomt in een van de componenten die worden genoemd in Richtlijn 3-8 van Oracle's "Veilige coderingsrichtlijnen voor een Java Programming Language, "Java-serverimplementaties kunnen worden aangevallen door een kwetsbaarheid zoals die maandag naar Oracle is gerapporteerd, zei Gowdiak.

De onderzoeker had moeite met de manier waarop Reflection API werd geïmplementeerd en gecontroleerd op beveiligingsproblemen in Java 7, omdat de component is tot nu toe de bron van meerdere kwetsbaarheden geweest. "De Reflection API past niet goed in het Java-beveiligingsmodel en als het verkeerd wordt gebruikt, kan dit gemakkelijk leiden tot beveiligingsproblemen," zei hij.

Deze nieuwe fout is een typisch voorbeeld van een zwak punt van Reflection API, zei Gowdiak. Dit beveiligingslek mag niet aanwezig zijn in de Java 7-code één jaar nadat een generiek beveiligingsprobleem met betrekking tot Reflection API door Security Explorations aan Oracle was gemeld, zei hij.