Java-Exploit mit Signatur
Java-Exploit mit Signatur (Bild: Eric Romang)

Eric Romang Signierter Java-Exploit umgeht neue Sicherheitseinstellung

Eigentlich soll die neue Standard-Sicherheitseinstellung von Java für mehr Sicherheit sorgen, da nur noch signierte Java-Programme im Browser ohne Sicherheitswarnung ausgeführt werden. Doch nun ist ein erster signierter Java-Exploit aufgetaucht.

Anzeige

Auf einer Website der TU Chemnitz ist ein korrekt signierter Java-Exploit aufgetaucht. Die Signatur sorge dafür, dass das Programm auch in der neuen Standardeinstellung "Hoch" ohne Sicherheitswarnung ausgeführt wird, berichten der Sicherheitsexperte Eric Romang und Malware Domain List.

Laut Romang wurde über eine Sicherheitslücke in OpenX eine mit dem Exploit-Kit g01pack infizierte Java-Datei auf die Seiten des Projekts Beolingus eingeschleust. Sie wurde korrekt mit einem Zertifikat der US-Firma Clearesult Consulting Inc signiert.

Die seit Java 7 Update 11 geltende Standard-Sicherheitseinstellung gibt aber nur bei unsignierten Java-Programmen eine Warnung aus. Wäre ein selbsterstelltes oder nicht vertrauenswürdiges Zertifikat verwendet worden, würde Java eine Warnmeldung ausgeben, so Romang. So taucht der übliche Dialog beim Start einer Java-Applikation auf.

Im konkreten Fall sei das Zertifikat mit einem gestohlenen privaten Schlüssel erstellt worden, der auf Pastebin zu finden ist und von Godaddy bereits zurückgerufen wurde, so Jindrich Kubec, der als Director of Threat Intelligence beim Antivirenhersteller Avast arbeitet. Der Schlüssel sei von dessen Aussteller Godaddy zwar mit Wirkung zum 7. Dezember 2012 zurückgerufen worden, der Rückruf erfolgte laut Sophos am 25. Februar 2013. Die erste entsprechende Malware tauchte aber erst am 28. Februar 2013 auf.

Allerdings, so wundert sich Kubec, ist in seiner Java-Konfiguration die Prüfung auf zurückgerufene Zertifikate deaktiviert, während selbstsignierten Apps erweiterte Rechte eingeräumt werden.


Dr.Glitch 07. Mär 2013

Versteh mich nicht falsch, ich mag Java. Tolles Teil! Aber: ich halte ausnahmslos _jeden_...

ioxio 06. Mär 2013

Lol ? Java-expl0its sind für den Connaisseur die erste Wahl für Top-Level-Angriffe. Es...

Kommentieren



Anzeige

  1. IT Systemberater/-in/IT Prozessberater/-in SAP / Kalkulation
    Daimler AG, Ludwigsfelde
  2. Software-Entwickler (m/w) Continuous Integration
    e.solutions GmbH, Ulm
  3. IT-Release Manager (m/w)
    Unitymedia GmbH, Köln
  4. Tester in der Softwareentwicklung (m/w)
    Daimler AG, Stuttgart

 

Detailsuche


Hardware-Angebote
  1. Seagate Supersale bei Alternate
  2. GeForce GTX 980 Ti
    ab 739,00€
  3. TIPP: Alternate Schnäppchen Outlet
    (täglich neue Deals)

 

Weitere Angebote


Folgen Sie uns
       


  1. Nordamerika

    Arin aktiviert Wartelistensystem für IPv4-Adressen

  2. Modellreihe CUH-1200

    Neue PS4 nutzt halb so viele Speicherchips

  3. Die Woche im Video

    Apple Music gestartet, Netzneutralität bedroht, NSA geleakt

  4. Internet.org

    Mark Zuckerberg will Daten per Laser auf die Erde übertragen

  5. TLC-Flash

    Samsung plant SSDs mit 2 und 4 TByte

  6. Liske

    Bitkom schließt Vorstandsmitglied im Streit aus

  7. Surfen im Ausland

    Apple SIM in Deutschland erhältlich

  8. Haushaltshilfe

    Rockets Helpling kauft Hassle.com

  9. Zynq Ultra Scale Plus

    Xilinx lässt erste 16-nm-Chips fertigen

  10. Apple

    iOS 8.4 soll Akku stärker belasten



Haben wir etwas übersehen?

E-Mail an news@golem.de



Urheberrecht: Die Panoramafreiheit ist bedroht
Urheberrecht
Die Panoramafreiheit ist bedroht
  1. EU-Urheberrecht Wikipedia fürchtet Abschaffung der Panoramafreiheit
  2. Experten Filesharing-Urteil des Bundesgerichtshofs für Musikindustrie
  3. Privatkopie Österreich will Downloads von illegalen Quellen verbieten

Unity: "Inzwischen entstehen viele tolle Spiele ohne Programmierer"
Unity
"Inzwischen entstehen viele tolle Spiele ohne Programmierer"
  1. Unity Technologies 56.289 Engine-Tests in einer Nacht
  2. Engine Unity 5.1 mit neuer Rendering-Pipeline für Virtual Reality
  3. Microsoft Hololens setzt auf die Unity-Engine

Anno 2205 angespielt: Brückenbau und Mondbesiedlung
Anno 2205 angespielt
Brückenbau und Mondbesiedlung
  1. E3-Tagesrückblick im Video Crytek, Virtual Reality und ehrenhafte Krieger
  2. Ubisoft Blue Byte schickt Anno 2205 auf den Mond

  1. Re: Kein Vollbild-Modus für Apps mehr in Build 10162?

    HolmHansen | 13:40

  2. Re: Warum nochmal?

    Transistoreffekt | 13:36

  3. Re: Kurz gefasst

    Clarissa1986 | 13:36

  4. Re: Bloß nicht der Regierung an den Karren fahren..

    Clarissa1986 | 13:35

  5. Theorie o.o

    Clarissa1986 | 13:34


  1. 11:55

  2. 10:37

  3. 09:33

  4. 16:52

  5. 16:29

  6. 16:25

  7. 15:52

  8. 14:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel