Java-Exploit mit Signatur
Java-Exploit mit Signatur (Bild: Eric Romang)

Eric Romang Signierter Java-Exploit umgeht neue Sicherheitseinstellung

Eigentlich soll die neue Standard-Sicherheitseinstellung von Java für mehr Sicherheit sorgen, da nur noch signierte Java-Programme im Browser ohne Sicherheitswarnung ausgeführt werden. Doch nun ist ein erster signierter Java-Exploit aufgetaucht.

Anzeige

Auf einer Website der TU Chemnitz ist ein korrekt signierter Java-Exploit aufgetaucht. Die Signatur sorge dafür, dass das Programm auch in der neuen Standardeinstellung "Hoch" ohne Sicherheitswarnung ausgeführt wird, berichten der Sicherheitsexperte Eric Romang und Malware Domain List.

Laut Romang wurde über eine Sicherheitslücke in OpenX eine mit dem Exploit-Kit g01pack infizierte Java-Datei auf die Seiten des Projekts Beolingus eingeschleust. Sie wurde korrekt mit einem Zertifikat der US-Firma Clearesult Consulting Inc signiert.

Die seit Java 7 Update 11 geltende Standard-Sicherheitseinstellung gibt aber nur bei unsignierten Java-Programmen eine Warnung aus. Wäre ein selbsterstelltes oder nicht vertrauenswürdiges Zertifikat verwendet worden, würde Java eine Warnmeldung ausgeben, so Romang. So taucht der übliche Dialog beim Start einer Java-Applikation auf.

Im konkreten Fall sei das Zertifikat mit einem gestohlenen privaten Schlüssel erstellt worden, der auf Pastebin zu finden ist und von Godaddy bereits zurückgerufen wurde, so Jindrich Kubec, der als Director of Threat Intelligence beim Antivirenhersteller Avast arbeitet. Der Schlüssel sei von dessen Aussteller Godaddy zwar mit Wirkung zum 7. Dezember 2012 zurückgerufen worden, der Rückruf erfolgte laut Sophos am 25. Februar 2013. Die erste entsprechende Malware tauchte aber erst am 28. Februar 2013 auf.

Allerdings, so wundert sich Kubec, ist in seiner Java-Konfiguration die Prüfung auf zurückgerufene Zertifikate deaktiviert, während selbstsignierten Apps erweiterte Rechte eingeräumt werden.


Dr.Glitch 07. Mär 2013

Versteh mich nicht falsch, ich mag Java. Tolles Teil! Aber: ich halte ausnahmslos _jeden_...

ioxio 06. Mär 2013

Lol ? Java-expl0its sind für den Connaisseur die erste Wahl für Top-Level-Angriffe. Es...

Kommentieren



Anzeige

  1. Software Quality Engineer (m/w)
    Takata AG, Berlin
  2. IT Account Manager (m/w) Support / Product Delivery
    transact Elektronische Zahlungssysteme GmbH - epay, Martinsried bei München
  3. Field Service Ingenieur (m/w)
    ABB AG, Dienstsitz Hamburg, Einsatzgebiet Norddeutschland
  4. Web-Designer (m/w)
    OneVision Software AG, Regensburg

 

Detailsuche


Spiele-Angebote
  1. Assassin's Creed 4: Black Flag Digital Deluxe PC Download
    13,97€
  2. Assassin's Creed Liberation HD
    7,97€
  3. RELEASE ERNEUT VERSCHOBEN: GTA 5 (PC)
    59,00€ (Vorbesteller-Preisgarantie) USK 18 - Release 14.04.

 

Weitere Angebote


Folgen Sie uns
       


  1. Netzneutralität

    FCC verbietet Überholspuren im Netz

  2. Produktpräsentation

    Apple-Event für 9. März angekündigt

  3. Netzausbau

    Telekom will LTE-Abdeckung auf 95 Prozent erhöhen

  4. Anbieterwechsel

    Wenn die Telekom-Subfirma nicht einmal klingelt

  5. Privatsphäre

    Privdog schickt Daten unverschlüsselt nach Hause

  6. Watch Urbane LTE

    LG präsentiert Smartwatch zum Telefonieren

  7. VATM

    "Telekom kommt mit Vectoring-Vorstoß nicht durch"

  8. NSA-Ausschuss

    BND streitet Mithilfe bei US-Drohnenkrieg ab

  9. Solid State Drive

    Zurückgezogenes Firmware-Update legt Samsungs 850 Pro lahm

  10. Elektromobilität

    Formel-E-Teams dürfen eigenen Antriebsstrang entwickeln



Haben wir etwas übersehen?

E-Mail an news@golem.de



Invisible Internet Project: Das alternative Tor ins Darknet
Invisible Internet Project
Das alternative Tor ins Darknet
  1. Datenschützer Private Überwachungskameras stark verbreitet
  2. Play Store Weit verbreitete Apps zeigen Adware verzögert an
  3. Blackphone Schwerwiegender Fehler in der Messaging-App Silenttext

Honor Holly im Test: 130 Euro - wer bietet weniger?
Honor Holly im Test
130 Euro - wer bietet weniger?
  1. Honor Preis des Holly sinkt auf 110 Euro
  2. Honor Holly Je mehr Interessenten, desto günstiger das Smartphone
  3. Honor T1 8-Zoll-Tablet im iPad-Mini-Format für 130 Euro

SLED 12 im Test: Die Sinnhaftigkeit eines kostenpflichtigen Linux-Desktops
SLED 12 im Test
Die Sinnhaftigkeit eines kostenpflichtigen Linux-Desktops
  1. Linux-Jahresrückblick 2014 Umbauarbeiten, Gezanke und Container

  1. Re: Samsung Smart-TV Ausfall, SSD Ausfall, läuft...

    KritikerKritiker | 23:56

  2. Re: Hauptsache, 216 EUR/Jahr Zwangsgebühr kassieren

    KritikerKritiker | 23:53

  3. Re: So ist das heute

    Milber | 23:46

  4. Warum werden da 50 Mio locker gemacht

    Lichtfeld | 23:42

  5. Re: Abdeckung Berliner U-Bahn

    anonfag | 23:42


  1. 23:14

  2. 21:37

  3. 20:10

  4. 19:13

  5. 18:22

  6. 18:18

  7. 18:16

  8. 17:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel