Anzeige
Java-Exploit mit Signatur
Java-Exploit mit Signatur (Bild: Eric Romang)

Eric Romang Signierter Java-Exploit umgeht neue Sicherheitseinstellung

Eigentlich soll die neue Standard-Sicherheitseinstellung von Java für mehr Sicherheit sorgen, da nur noch signierte Java-Programme im Browser ohne Sicherheitswarnung ausgeführt werden. Doch nun ist ein erster signierter Java-Exploit aufgetaucht.

Anzeige

Auf einer Website der TU Chemnitz ist ein korrekt signierter Java-Exploit aufgetaucht. Die Signatur sorge dafür, dass das Programm auch in der neuen Standardeinstellung "Hoch" ohne Sicherheitswarnung ausgeführt wird, berichten der Sicherheitsexperte Eric Romang und Malware Domain List.

Laut Romang wurde über eine Sicherheitslücke in OpenX eine mit dem Exploit-Kit g01pack infizierte Java-Datei auf die Seiten des Projekts Beolingus eingeschleust. Sie wurde korrekt mit einem Zertifikat der US-Firma Clearesult Consulting Inc signiert.

Die seit Java 7 Update 11 geltende Standard-Sicherheitseinstellung gibt aber nur bei unsignierten Java-Programmen eine Warnung aus. Wäre ein selbsterstelltes oder nicht vertrauenswürdiges Zertifikat verwendet worden, würde Java eine Warnmeldung ausgeben, so Romang. So taucht der übliche Dialog beim Start einer Java-Applikation auf.

Im konkreten Fall sei das Zertifikat mit einem gestohlenen privaten Schlüssel erstellt worden, der auf Pastebin zu finden ist und von Godaddy bereits zurückgerufen wurde, so Jindrich Kubec, der als Director of Threat Intelligence beim Antivirenhersteller Avast arbeitet. Der Schlüssel sei von dessen Aussteller Godaddy zwar mit Wirkung zum 7. Dezember 2012 zurückgerufen worden, der Rückruf erfolgte laut Sophos am 25. Februar 2013. Die erste entsprechende Malware tauchte aber erst am 28. Februar 2013 auf.

Allerdings, so wundert sich Kubec, ist in seiner Java-Konfiguration die Prüfung auf zurückgerufene Zertifikate deaktiviert, während selbstsignierten Apps erweiterte Rechte eingeräumt werden.


eye home zur Startseite
Dr.Glitch 07. Mär 2013

Versteh mich nicht falsch, ich mag Java. Tolles Teil! Aber: ich halte ausnahmslos _jeden_...

ioxio 06. Mär 2013

Lol ? Java-expl0its sind für den Connaisseur die erste Wahl für Top-Level-Angriffe. Es...

Kommentieren



Anzeige

  1. Head of Software Development / Leiter Softwareentwicklung (m/w)
    Hella Gutmann Solutions GmbH, Ihringen
  2. IT Business Analyst (m/w)
    Wirecard Technologies GmbH, Aschheim bei München
  3. Softwareentwickler Automotive (m/w)
    Bertrandt Services GmbH, Karlsruhe
  4. Fachinformatiker (m/w)
    SICK AG, Waldkirch bei Freiburg im Breisgau

Detailsuche



Anzeige

Folgen Sie uns
       


  1. iPad und iPhone

    Apple und SAP verkünden Kooperation

  2. USA

    Furcht vor Popcorn Time auf Set-Top-Boxen

  3. Unplugged

    Youtube will Fernsehprogramm anbieten

  4. Festnetz

    Telekom-Chef verspricht 500 MBit/s im Kupfernetz

  5. Uncharted 4 im Test

    Meisterdieb in Meisterwerk

  6. Konkurrenz für Bandtechnik

    EMC will Festplatten abschalten

  7. Mobilfunk

    Telekom will bei eSIM keinen Netzwechsel zulassen

  8. Gründung von Algorithm Watch

    Achtgeben auf Algorithmen

  9. Mobilfunk

    Störung zwischen E-Plus-Netz und Telekom

  10. Bug-Bounty-Programm

    Facebooks jüngster Hacker



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Snapchat: Wir kommen in Frieden
Snapchat
Wir kommen in Frieden
  1. O2-Mobilfunknetz Snapchat-Nutzer in Deutschland sind Schüler
  2. Snapchat-Update Fließender Wechsel zwischen Text, Video und Audio
  3. Messaging Snapchat kauft Bitstrips für über 100 Millionen US-Dollar

Gardena Smart Garden im Test: Plug and Spray mit Hindernissen
Gardena Smart Garden im Test
Plug and Spray mit Hindernissen
  1. Revolv Google macht Heimautomatisierung kaputt
  2. Intelligentes Heim Alphabet könnte sich von Nest trennen
  3. You-Rista Kaffeemaschine mit App-Anschluss

Netzpolitik: Edward Snowden ist genervt
Netzpolitik
Edward Snowden ist genervt
  1. Snowden Natural Born Knüller
  2. NSA-Affäre BND-Chef Schindler muss offenbar gehen
  3. Panama-Papers 2,6 TByte Daten zu dubiosen Offshore-Firmen

  1. Re: Immer dieser Mars...

    Bautz | 07:26

  2. Re: Richtige Vorgehensweise

    cyzz | 07:25

  3. Re: Die maximale Datenrate im Münchner...

    Niantic | 07:19

  4. Re: Ich freue mich auf das Game

    cuthbert34 | 07:05

  5. Re: sorry, wofür brauche ich so viel Mbit/s?

    Moe479 | 06:42


  1. 07:22

  2. 13:08

  3. 11:31

  4. 09:32

  5. 09:01

  6. 19:01

  7. 16:52

  8. 16:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel