Eric Romang Signierter Java-Exploit umgeht neue Sicherheitseinstellung

Eigentlich soll die neue Standard-Sicherheitseinstellung von Java für mehr Sicherheit sorgen, da nur noch signierte Java-Programme im Browser ohne Sicherheitswarnung ausgeführt werden. Doch nun ist ein erster signierter Java-Exploit aufgetaucht.

Anzeige

Auf einer Website der TU Chemnitz ist ein korrekt signierter Java-Exploit aufgetaucht. Die Signatur sorge dafür, dass das Programm auch in der neuen Standardeinstellung "Hoch" ohne Sicherheitswarnung ausgeführt wird, berichten der Sicherheitsexperte Eric Romang und Malware Domain List.

Laut Romang wurde über eine Sicherheitslücke in OpenX eine mit dem Exploit-Kit g01pack infizierte Java-Datei auf die Seiten des Projekts Beolingus eingeschleust. Sie wurde korrekt mit einem Zertifikat der US-Firma Clearesult Consulting Inc signiert.

Die seit Java 7 Update 11 geltende Standard-Sicherheitseinstellung gibt aber nur bei unsignierten Java-Programmen eine Warnung aus. Wäre ein selbsterstelltes oder nicht vertrauenswürdiges Zertifikat verwendet worden, würde Java eine Warnmeldung ausgeben, so Romang. So taucht der übliche Dialog beim Start einer Java-Applikation auf.

Im konkreten Fall sei das Zertifikat mit einem gestohlenen privaten Schlüssel erstellt worden, der auf Pastebin zu finden ist und von Godaddy bereits zurückgerufen wurde, so Jindrich Kubec, der als Director of Threat Intelligence beim Antivirenhersteller Avast arbeitet. Der Schlüssel sei von dessen Aussteller Godaddy zwar mit Wirkung zum 7. Dezember 2012 zurückgerufen worden, der Rückruf erfolgte laut Sophos am 25. Februar 2013. Die erste entsprechende Malware tauchte aber erst am 28. Februar 2013 auf.

Allerdings, so wundert sich Kubec, ist in seiner Java-Konfiguration die Prüfung auf zurückgerufene Zertifikate deaktiviert, während selbstsignierten Apps erweiterte Rechte eingeräumt werden.


Dr.Glitch 07. Mär 2013

Versteh mich nicht falsch, ich mag Java. Tolles Teil! Aber: ich halte ausnahmslos _jeden_...

ioxio 06. Mär 2013

Lol ? Java-expl0its sind für den Connaisseur die erste Wahl für Top-Level-Angriffe. Es...

Kommentieren



Anzeige

  1. IT-Programmmanager/-in für komplexe Softwareeinführungsprojekte
    Dataport, Hamburg
  2. Senior Consultant Reporting (m/w)
    b.telligent, München und Zürich
  3. Senior Softwareentwickler (m/w) Java EE
    Faktor Zehn AG, München und Köln
  4. Netzwerk Administrator (m/w)
    Loyalty Partner Solutions GmbH, keine Angabe

 

Detailsuche


Folgen Sie uns
       


  1. Verband

    "Uber-Verbot ruiniert Ruf der Startup-Stadt Berlin"

  2. Kabel Deutschland

    2.000 Haushalte zwei Tage von Kabelschaden betroffen

  3. Cridex-Trojaner

    Hamburger Senat bestätigt großen Schaden durch Malware

  4. Ubuntu 14.04 LTS im Test

    Canonical in der Konvergenz-Falle

  5. Überwachung

    Snowden befragt Putin in Fernsehinterview

  6. Bleichenbacher-Angriff

    TLS-Probleme in Java

  7. Cyanogenmod-Smartphone

    Oneplus One kann nur auf Einladung bestellt werden

  8. Heartbleed-Bug

    Strato und BSI warnen Nutzer

  9. Gameface Labs Mark IV

    Virtuelle, drahtlose Android-Realität mit 1440p

  10. Verbraucherwarnung

    Nokia ruft Netzteile des Lumia 2520 zurück



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Owncloud: Dropbox-Alternative fürs Heimnetzwerk
Owncloud
Dropbox-Alternative fürs Heimnetzwerk

Kaputte Zertifikate durch Heartbleed und der NSA-Skandal: Es gibt genügend Gründe, seinen eigenen Cloud-Speicher einzurichten. Wir erklären mit Owncloud auf einem Raspberry Pi, wie das funktioniert.


Cortana im Test: Gebt Windows Phone eine Stimme
Cortana im Test
Gebt Windows Phone eine Stimme

Mit Windows Phone 8.1 bringt Microsoft nicht nur lange vermisste Funktionen wie die zentrale Benachrichtigungsübersicht auf das Smartphone, sondern auch die Sprachassistentin Cortana. Diese kann den Alltag tatsächlich erleichtern - und singen.

  1. Smartphones Nokia und HTC planen Updates auf Windows Phone 8.1
  2. Ativ SE Samsungs neues Smartphone mit Windows Phone
  3. Microsoft Internet Explorer 11 für Windows Phone

Wolfenstein The New Order: "Als Ein-Mann-Armee gegen eine Übermacht"
Wolfenstein The New Order
"Als Ein-Mann-Armee gegen eine Übermacht"

B. J. Blazkowicz muss demnächst wieder die Welt retten - in einem Wolfenstein aus Schweden. Im Interview hat Golem.de mit Andreas Öjerfors, dem Senior Gameplay Designer, über verbotene Inhalte, die KI und Filmvorbilder von The New Order gesprochen.

  1. The New Order Wolfenstein erscheint ohne inhaltliche Schnitte
  2. Wolfenstein angespielt Agent Blazkowicz in historischer Mission
  3. Bethesda Zugang zur Doom-Beta führt über Wolfenstein

    •  / 
    Zum Artikel