Java-Exploit mit Signatur
Java-Exploit mit Signatur (Bild: Eric Romang)

Eric Romang Signierter Java-Exploit umgeht neue Sicherheitseinstellung

Eigentlich soll die neue Standard-Sicherheitseinstellung von Java für mehr Sicherheit sorgen, da nur noch signierte Java-Programme im Browser ohne Sicherheitswarnung ausgeführt werden. Doch nun ist ein erster signierter Java-Exploit aufgetaucht.

Anzeige

Auf einer Website der TU Chemnitz ist ein korrekt signierter Java-Exploit aufgetaucht. Die Signatur sorge dafür, dass das Programm auch in der neuen Standardeinstellung "Hoch" ohne Sicherheitswarnung ausgeführt wird, berichten der Sicherheitsexperte Eric Romang und Malware Domain List.

Laut Romang wurde über eine Sicherheitslücke in OpenX eine mit dem Exploit-Kit g01pack infizierte Java-Datei auf die Seiten des Projekts Beolingus eingeschleust. Sie wurde korrekt mit einem Zertifikat der US-Firma Clearesult Consulting Inc signiert.

Die seit Java 7 Update 11 geltende Standard-Sicherheitseinstellung gibt aber nur bei unsignierten Java-Programmen eine Warnung aus. Wäre ein selbsterstelltes oder nicht vertrauenswürdiges Zertifikat verwendet worden, würde Java eine Warnmeldung ausgeben, so Romang. So taucht der übliche Dialog beim Start einer Java-Applikation auf.

Im konkreten Fall sei das Zertifikat mit einem gestohlenen privaten Schlüssel erstellt worden, der auf Pastebin zu finden ist und von Godaddy bereits zurückgerufen wurde, so Jindrich Kubec, der als Director of Threat Intelligence beim Antivirenhersteller Avast arbeitet. Der Schlüssel sei von dessen Aussteller Godaddy zwar mit Wirkung zum 7. Dezember 2012 zurückgerufen worden, der Rückruf erfolgte laut Sophos am 25. Februar 2013. Die erste entsprechende Malware tauchte aber erst am 28. Februar 2013 auf.

Allerdings, so wundert sich Kubec, ist in seiner Java-Konfiguration die Prüfung auf zurückgerufene Zertifikate deaktiviert, während selbstsignierten Apps erweiterte Rechte eingeräumt werden.


Dr.Glitch 07. Mär 2013

Versteh mich nicht falsch, ich mag Java. Tolles Teil! Aber: ich halte ausnahmslos _jeden_...

ioxio 06. Mär 2013

Lol ? Java-expl0its sind für den Connaisseur die erste Wahl für Top-Level-Angriffe. Es...

Kommentieren



Anzeige

  1. Software Project Manager (m/w)
    MED-EL Medical Electronics, Innsbruck (Österreich)
  2. Junior Consultant (m/w) Enterprise Information Management / Master Data Management
    Camelot Management Consultants AG, Mannheim, Köln
  3. Mitarbeiter/in First Level Support
    DKMS Deutsche Knochenmarkspenderdatei gemeinnützige Gesellschaft mbH, Tübingen
  4. Senior Information Architect - Experte für Informationssicherheit (m/w)
    Enercon GmbH, Aurich

 

Detailsuche


Hardware-Angebote
  1. Fire TV Stick
    39,00€
  2. G.Skill DIMM 8 GB DDR3-1600 Kit
    59,90€
  3. MSI GeForce GTX 970 Gaming 4G
    369,90€ (günstigster Preis laut Preisvergleich)

 

Weitere Angebote


Folgen Sie uns
       


  1. Deep angespielt

    "Atme tief ein und tauche durch die virtuelle Welt"

  2. Federation Against Copyright Theft

    Mit Videoüberwachung im Kinosaal gegen Release Groups

  3. Razer Blade 2015 im Test

    Das bisher beste Gaming-Ultrabook

  4. Biomimetik

    Miniroboter zieht Vielfaches seines Eigengewichts nach oben

  5. Malware

    Apples Schutzmechanismen sind nahezu wirkungslos

  6. Konami

    Zukunft von Silent Hills ist unklar

  7. Dementi

    Nokia wird keine neuen Smartphones herstellen

  8. Splash Damage

    Gears of War erscheint als HD-Remake für die Xbox One

  9. Call of Duty

    Black Ops 3 mit offeneren Levels und mehr Charakter

  10. Nexus Player im Test

    Zu wenige Apps, zu viele Probleme



Haben wir etwas übersehen?

E-Mail an news@golem.de



Schützen, laden, stylen: Interessantes Zubehör für die Apple Watch
Schützen, laden, stylen
Interessantes Zubehör für die Apple Watch
  1. iFixit-Teardown Herz der Apple Watch lässt sich nicht wechseln
  2. Smartwatch So funktioniert der Pulssensor der Apple Watch
  3. Smartwatch Apple Watch wird frühestens im Juni im Laden verkauft

The Ocean Cleanup: Ein Müllfänger für die Meere
The Ocean Cleanup
Ein Müllfänger für die Meere
  1. Vorbild Tintenfisch Tarnmaterial ändert seine Farbe
  2. Keine Science-Fiction Mit dem Laser gegen Weltraumschrott
  3. Maglev Magnetschwebebahn erreicht in Japan 590 km/h

GTA 5 im Technik-Test: So sieht eine famose PC-Umsetzung aus
GTA 5 im Technik-Test
So sieht eine famose PC-Umsetzung aus
  1. GTA 5 auf dem PC Erst beschränkter Zugriff, dann mehr Freiheit
  2. GTA 5 Es ist doch nicht 2004!
  3. GTA 5 PC Rockstar Games gibt Systemanforderungen für Ultra-HD bekannt

  1. selbst die Malware hört sich bei Apple cooler an

    korona | 14:00

  2. Re: Gründe für ne XBONE?

    Fantasy Hero | 13:58

  3. Re: Als Trekkie

    Hotohori | 13:58

  4. Ist nur fair

    mnementh | 13:57

  5. Re: Wer bei Physik aufgepasst hat weiß

    Michael H. | 13:56


  1. 14:00

  2. 13:21

  3. 12:00

  4. 11:59

  5. 11:43

  6. 11:10

  7. 11:09

  8. 11:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel