Unterschrieben? Übertrieben: Kritische Java-Lücke akzeptiert leere Signaturen

HiSolutions Research

So, wie das zauberhafte übernatürliche Papier („psychic paper“) der fiktiven Figur Dr. Who erlaubte, andere in seinem leeren Personalausweis das sehen zu lassen, was er möchte, hat es eine böse Schwachstelle in Java ermöglicht, digitale Signaturen zu erzeugen, die leer sind und trotzdem als gültig durchgehen. Damit können beliebige Daten signiert werden, ob Dokumente oder WebAuthn/FIDO-Tokens etwa aus Yubikeys.

Ermöglicht wurde das Problem durch einen Fehler in der Übertragung von C++-Code auf nativen Java-Code in Java 15, welcher offensichtlich nicht durch Kryptographie-Fachleute vorgenommen wurde.

Java-Installationen in den Versionen 15-18 sollten dringend mit dem April Critical Patch Update gefixt werden, auch wenn Oracle selbst den CVSS nur mit 7.5 taxiert; andere Experten sehen hier eine glatte 10.

https://neilmadden.blog/2022/04/19/psychic-signatures-in-java/

Hier schreibt