Anzeige
Java-Exploit mit Signatur
Java-Exploit mit Signatur (Bild: Eric Romang)

Eric Romang Signierter Java-Exploit umgeht neue Sicherheitseinstellung

Eigentlich soll die neue Standard-Sicherheitseinstellung von Java für mehr Sicherheit sorgen, da nur noch signierte Java-Programme im Browser ohne Sicherheitswarnung ausgeführt werden. Doch nun ist ein erster signierter Java-Exploit aufgetaucht.

Anzeige

Auf einer Website der TU Chemnitz ist ein korrekt signierter Java-Exploit aufgetaucht. Die Signatur sorge dafür, dass das Programm auch in der neuen Standardeinstellung "Hoch" ohne Sicherheitswarnung ausgeführt wird, berichten der Sicherheitsexperte Eric Romang und Malware Domain List.

Laut Romang wurde über eine Sicherheitslücke in OpenX eine mit dem Exploit-Kit g01pack infizierte Java-Datei auf die Seiten des Projekts Beolingus eingeschleust. Sie wurde korrekt mit einem Zertifikat der US-Firma Clearesult Consulting Inc signiert.

Die seit Java 7 Update 11 geltende Standard-Sicherheitseinstellung gibt aber nur bei unsignierten Java-Programmen eine Warnung aus. Wäre ein selbsterstelltes oder nicht vertrauenswürdiges Zertifikat verwendet worden, würde Java eine Warnmeldung ausgeben, so Romang. So taucht der übliche Dialog beim Start einer Java-Applikation auf.

Im konkreten Fall sei das Zertifikat mit einem gestohlenen privaten Schlüssel erstellt worden, der auf Pastebin zu finden ist und von Godaddy bereits zurückgerufen wurde, so Jindrich Kubec, der als Director of Threat Intelligence beim Antivirenhersteller Avast arbeitet. Der Schlüssel sei von dessen Aussteller Godaddy zwar mit Wirkung zum 7. Dezember 2012 zurückgerufen worden, der Rückruf erfolgte laut Sophos am 25. Februar 2013. Die erste entsprechende Malware tauchte aber erst am 28. Februar 2013 auf.

Allerdings, so wundert sich Kubec, ist in seiner Java-Konfiguration die Prüfung auf zurückgerufene Zertifikate deaktiviert, während selbstsignierten Apps erweiterte Rechte eingeräumt werden.


eye home zur Startseite
Dr.Glitch 07. Mär 2013

Versteh mich nicht falsch, ich mag Java. Tolles Teil! Aber: ich halte ausnahmslos _jeden_...

ioxio 06. Mär 2013

Lol ? Java-expl0its sind für den Connaisseur die erste Wahl für Top-Level-Angriffe. Es...

Kommentieren



Anzeige

  1. Service Delivery Manager (m/w)
    T-Systems International GmbH, München
  2. System Engineer IMS Core (m/w)
    Deutsche Telekom Technik GmbH, Bonn, Darmstadt
  3. Leitung IT-Prozesse / Anwendungen (m/w)
    ERDINGER Weißbräu, Erding
  4. IT-Testmanager Customer Order Management (m/w)
    Media-Saturn IT Services GmbH, Ingolstadt

Detailsuche



Anzeige
Spiele-Angebote
  1. VORBESTELLBAR: Gran Turismo Sport - Steel Book Edition - [PlayStation 4]
    79,99€
  2. VORBESTELLBAR: No Man's Sky - Limited Edition - [PlayStation 4]
    79,99€ (Vorbesteller-Preisgarantie)
  3. VORBESTELLBAR: Gran Turismo Sport [PlayStation 4]
    69,99€ (Vorbesteller-Preisgarantie)

Weitere Angebote


Folgen Sie uns
       


  1. Lensbaby

    Fisheye-Objektiv Circular 180+ für die Gopro

  2. Werbeversprechen

    Grüne fordern Bußgelder für langsame Internetanbieter

  3. Stratix 10 MX

    Alteras Chips nutzen HBM2 und Intels Interposer-Technik

  4. Java-Rechtsstreit

    Oracle verliert gegen Google

  5. Photoshop Content Aware Crop

    Schiefe Fotos geraderücken

  6. HP Omen

    4K-Gaming-Notebooks und ein wassergekühlter Desktop-Rechner

  7. 100 MBit/s

    Telekom stattet zwei Städte mit Vectoring aus

  8. Sprachassistent

    Voßhoff will nicht mit Siri sprechen

  9. Sailfish OS

    Jolla bringt exklusives Smartphone nur für Entwickler

  10. Projektkommunikation

    Tausende Github-Nutzer haben Kontaktprobleme



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
GPD XD im Test: Zwischen Nintendo 3DS und PS Vita ist noch Platz
GPD XD im Test
Zwischen Nintendo 3DS und PS Vita ist noch Platz
  1. Playstation 4 Rennstart für Gran Turismo Sport im November 2016
  2. Project Spark Microsoft stellt seinen Spieleeditor ein
  3. AMD Drei Konsolen-Chips für 2017 angekündigt

Xiaomi Mi5 im Test: Das fast perfekte Top-Smartphone
Xiaomi Mi5 im Test
Das fast perfekte Top-Smartphone
  1. YI 4K Xiaomi greift mit 4K-Actionkamera GoPro an

Hyperloop Global Challenge: Jeder will den Rohrpostzug
Hyperloop Global Challenge
Jeder will den Rohrpostzug
  1. Hyperloop HTT will seine Rohrpostzüge aus Marvel-Material bauen
  2. Hyperloop One Der Hyperloop fährt - wenn auch nur kurz
  3. Inductrack Hyperloop schwebt ohne Strom

  1. Re: Falscher Ansatz

    RicoBrassers | 10:24

  2. Re: Ist denn schon Sommerloch und die...

    minecrawlerx | 10:23

  3. Re: Glück gehabt.

    ThiefMaster | 10:21

  4. Re: Warum so niedermachen?

    Bouncy | 10:20

  5. Lieber Vectoring als gar nix!

    sundown73 | 10:19


  1. 10:11

  2. 09:55

  3. 08:45

  4. 08:25

  5. 07:43

  6. 07:15

  7. 19:05

  8. 17:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel