Anzeige
Java-Exploit mit Signatur
Java-Exploit mit Signatur (Bild: Eric Romang)

Eric Romang Signierter Java-Exploit umgeht neue Sicherheitseinstellung

Eigentlich soll die neue Standard-Sicherheitseinstellung von Java für mehr Sicherheit sorgen, da nur noch signierte Java-Programme im Browser ohne Sicherheitswarnung ausgeführt werden. Doch nun ist ein erster signierter Java-Exploit aufgetaucht.

Anzeige

Auf einer Website der TU Chemnitz ist ein korrekt signierter Java-Exploit aufgetaucht. Die Signatur sorge dafür, dass das Programm auch in der neuen Standardeinstellung "Hoch" ohne Sicherheitswarnung ausgeführt wird, berichten der Sicherheitsexperte Eric Romang und Malware Domain List.

Laut Romang wurde über eine Sicherheitslücke in OpenX eine mit dem Exploit-Kit g01pack infizierte Java-Datei auf die Seiten des Projekts Beolingus eingeschleust. Sie wurde korrekt mit einem Zertifikat der US-Firma Clearesult Consulting Inc signiert.

Die seit Java 7 Update 11 geltende Standard-Sicherheitseinstellung gibt aber nur bei unsignierten Java-Programmen eine Warnung aus. Wäre ein selbsterstelltes oder nicht vertrauenswürdiges Zertifikat verwendet worden, würde Java eine Warnmeldung ausgeben, so Romang. So taucht der übliche Dialog beim Start einer Java-Applikation auf.

Im konkreten Fall sei das Zertifikat mit einem gestohlenen privaten Schlüssel erstellt worden, der auf Pastebin zu finden ist und von Godaddy bereits zurückgerufen wurde, so Jindrich Kubec, der als Director of Threat Intelligence beim Antivirenhersteller Avast arbeitet. Der Schlüssel sei von dessen Aussteller Godaddy zwar mit Wirkung zum 7. Dezember 2012 zurückgerufen worden, der Rückruf erfolgte laut Sophos am 25. Februar 2013. Die erste entsprechende Malware tauchte aber erst am 28. Februar 2013 auf.

Allerdings, so wundert sich Kubec, ist in seiner Java-Konfiguration die Prüfung auf zurückgerufene Zertifikate deaktiviert, während selbstsignierten Apps erweiterte Rechte eingeräumt werden.


Dr.Glitch 07. Mär 2013

Versteh mich nicht falsch, ich mag Java. Tolles Teil! Aber: ich halte ausnahmslos _jeden_...

ioxio 06. Mär 2013

Lol ? Java-expl0its sind für den Connaisseur die erste Wahl für Top-Level-Angriffe. Es...

Kommentieren



Anzeige

  1. Software-Entwickler/in MES (Manufacturing Execution Systems)
    Robert Bosch GmbH, Crailsheim
  2. IT-Security-Berater im Kundenbereich (m/w)
    TÜV Informationstechnik GmbH, Essen
  3. Business Consultant (m/w) SAP-Template Ersatzteile Wholesale
    Daimler AG, Stuttgart
  4. Junior PLM Development Ingenieur (m/w)
    MBtech Group GmbH & Co. KGaA, Großraum Stuttgart

Detailsuche


Hardware-Angebote
  1. Microsoft Surface Book bestellen und bis zu 550 Euro Cashback erhalten
  2. EVGA GeForce GTX 980 Superclocked ACX 2.0
    479,00€ statt 629,90€
  3. Wintersale im Microsoft Store

Weitere Angebote


Folgen Sie uns
       


  1. Twitter

    Neue Sortierung der Timeline kommt

  2. Error 53

    Unautorisierte Ersatzteile sperren iPhone

  3. Escape Dynamics

    Firma für mikrowellenbetriebene Raumschiffe ist bankrott

  4. Deutsche Bahn

    Wlan für alle ICE-Fahrgäste möglicherweise erst 2017

  5. Die Woche im Video

    Raider heißt jetzt Twix ...

  6. Alpenföhn

    Der Olymp soll 340 Watt an Leistung abführen

  7. Eurocom X9E

    Monster-Notebook nutzt Diamant- und Flüssigmetallpaste

  8. Willkürliche Festsetzung

    Schwedische Regierung spottet über Assange

  9. IoT statt Smartphones

    Mozilla gibt Firefox OS schneller auf als erwartet

  10. Rise of the Tomb Raider

    Update schafft Klarheit



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xcom 2 im Test: Strategie wie vom anderen Stern
Xcom 2 im Test
Strategie wie vom anderen Stern
  1. Vorschau Spielejahr 2016 Cowboys und Cyberspace
  2. Xcom 2 angespielt Mit Strategie die Menschheit retten

Verschlüsselung: Nach Truecrypt kommt Veracrypt
Verschlüsselung
Nach Truecrypt kommt Veracrypt

Sèbastien Loeb Rally Evo im Test: Mit dem Weltmeister über Stock und Stein
Sèbastien Loeb Rally Evo im Test
Mit dem Weltmeister über Stock und Stein
  1. Dirt Rally im Test Motorsport für Fortgeschrittene
  2. Rockstar Games Jede Kugel zählt in GTA Online
  3. Microsoft Forza 6 bekommt Mikrotransaktionen

  1. Re: Wer sich der Apple-Diktatur unterwirft ist...

    JouMxyzptlk | 14:12

  2. Re: Komisch, dass Golem.de das nicht...

    Lasse Bierstrom | 14:11

  3. Re: Ich bezweifele, das mit dieser "panikaktion"...

    moppi | 14:09

  4. Re: Ausreden

    kylecorver | 14:09

  5. Re: Verständlich...

    Conzious | 14:08


  1. 13:25

  2. 12:43

  3. 11:52

  4. 11:28

  5. 09:01

  6. 21:49

  7. 16:04

  8. 15:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel