Java-Exploit mit Signatur
Java-Exploit mit Signatur (Bild: Eric Romang)

Eric Romang Signierter Java-Exploit umgeht neue Sicherheitseinstellung

Eigentlich soll die neue Standard-Sicherheitseinstellung von Java für mehr Sicherheit sorgen, da nur noch signierte Java-Programme im Browser ohne Sicherheitswarnung ausgeführt werden. Doch nun ist ein erster signierter Java-Exploit aufgetaucht.

Anzeige

Auf einer Website der TU Chemnitz ist ein korrekt signierter Java-Exploit aufgetaucht. Die Signatur sorge dafür, dass das Programm auch in der neuen Standardeinstellung "Hoch" ohne Sicherheitswarnung ausgeführt wird, berichten der Sicherheitsexperte Eric Romang und Malware Domain List.

Laut Romang wurde über eine Sicherheitslücke in OpenX eine mit dem Exploit-Kit g01pack infizierte Java-Datei auf die Seiten des Projekts Beolingus eingeschleust. Sie wurde korrekt mit einem Zertifikat der US-Firma Clearesult Consulting Inc signiert.

Die seit Java 7 Update 11 geltende Standard-Sicherheitseinstellung gibt aber nur bei unsignierten Java-Programmen eine Warnung aus. Wäre ein selbsterstelltes oder nicht vertrauenswürdiges Zertifikat verwendet worden, würde Java eine Warnmeldung ausgeben, so Romang. So taucht der übliche Dialog beim Start einer Java-Applikation auf.

Im konkreten Fall sei das Zertifikat mit einem gestohlenen privaten Schlüssel erstellt worden, der auf Pastebin zu finden ist und von Godaddy bereits zurückgerufen wurde, so Jindrich Kubec, der als Director of Threat Intelligence beim Antivirenhersteller Avast arbeitet. Der Schlüssel sei von dessen Aussteller Godaddy zwar mit Wirkung zum 7. Dezember 2012 zurückgerufen worden, der Rückruf erfolgte laut Sophos am 25. Februar 2013. Die erste entsprechende Malware tauchte aber erst am 28. Februar 2013 auf.

Allerdings, so wundert sich Kubec, ist in seiner Java-Konfiguration die Prüfung auf zurückgerufene Zertifikate deaktiviert, während selbstsignierten Apps erweiterte Rechte eingeräumt werden.


Dr.Glitch 07. Mär 2013

Versteh mich nicht falsch, ich mag Java. Tolles Teil! Aber: ich halte ausnahmslos _jeden_...

ioxio 06. Mär 2013

Lol ? Java-expl0its sind für den Connaisseur die erste Wahl für Top-Level-Angriffe. Es...

Kommentieren



Anzeige

  1. SAP ABAP-Entwickler/in
    Endress+Hauser InfoServe GmbH+Co. KG, Weil am Rhein
  2. Mitarbeiter in der Beratung (m/w) im Umfeld Produktdatenmanagement
    Daimler AG, Stuttgart
  3. Full-Stack Entwickler (m/w)
    Scandio GmbH, München
  4. Produktsoftwareentwickler Vorentwicklung Cloud / Serverplattform (m/w)
    Robert Bosch Car Multimedia GmbH, Hildesheim

 

Detailsuche


Spiele-Angebote
  1. NEU: Assassins Creed Unity PC Download
    29,97€
  2. Metal Gear Solid V: Ground Zeroes - [PlayStation 4]
    15,07€ USK 18
  3. The Order: 1886 - [PlayStation 4] Blackwater Edition
    89,95€

 

Weitere Angebote


Folgen Sie uns
       


  1. Yanis Varoufakis

    Griechischer Finanzminister hat für Valve gearbeitet

  2. Quartalszahlen

    Apples iPhone-Verkauf übertrifft alle Prognosen

  3. Apple

    Das ist neu an iOS 8.1.3 und OS X 10.10.2

  4. Autobahn

    Ruhrgebiet soll Testgebiet für autonomes Fahren werden

  5. Glibc

    Ein Geist gefährdet Linux-Systeme

  6. iPhone

    Apple patentiert ansteckbares Gamepad und weiteres Zubehör

  7. KDE Plasma 5.2 erschienen

    Breeze ist überall

  8. Vorratsdatenspeicherung

    EU-Kommission plant keinen neuen Anlauf

  9. Microblogging

    Twitter führt Videofunktion und Gruppennachrichten ein

  10. Spionagesoftware

    Kaspersky enttarnt Regin als NSA-Programm



Haben wir etwas übersehen?

E-Mail an news@golem.de



Sony Alpha 7 II im Test: Fast ins Schwarze getroffen
Sony Alpha 7 II im Test
Fast ins Schwarze getroffen
  1. Systemkamera Olympus kündigt neues Modell im OM-D-System an
  2. Seek XR Wärmebildkamera mit Zoom für Android und iOS
  3. Geco Mark II Federleichte Actionkamera für den Brillenbügel

Neues Betriebssystem: Microsoft nennt viele neue Details zu Windows 10
Neues Betriebssystem
Microsoft nennt viele neue Details zu Windows 10
  1. Technical Preview mit Cortana Windows 10 Build 9926 steht zum Download bereit
  2. Microsoft Nicht alle Windows-Phone-Smartphones erhalten Windows 10
  3. Surface Hub Microsoft zeigt Konferenzsystem mit Digitizer und Windows 10

Spionage oder Imageaufwertung?: Deutsche Behörden nennen es Social Media Intelligence
Spionage oder Imageaufwertung?
Deutsche Behörden nennen es Social Media Intelligence
  1. Ausfall von Internetdiensten Lizard Squad will's gewesen sein, Facebook sagt nein
  2. Soziales Netzwerk Justizministerium kritisiert Facebooks neue AGB
  3. jobbörse.com Xing kauft Suchmaschine für 6,3 Millionen Euro

    •  / 
    Zum Artikel