Eine weitere Sicherheitslücke in Java wird aktiv ausgenutzt.
Eine weitere Sicherheitslücke in Java wird aktiv ausgenutzt. (Bild: Oracle)

Java Kritische Sicherheitslücke im Security Manager

In allen Java-Versionen inklusive Java 7, Update 10, ist eine kritische Sicherheitslücke, die bereits aktiv genutzt wird. Dabei wird ein Fehler im Security Manager ausgenutzt. Über Webseiten eingeschleuster Schadcode kann mit Administratorrechten ausgeführt werden.

Anzeige

In Java ist abermals eine kritische Sicherheitslücke entdeckt worden. Sie tritt in allen Versionen von Java 7, einschließlich Update 10, auf. Das US-Cert hat bereits eine Warnung (CVE-2012-4681) herausgegeben. Laut dem Entdecker des Fehlers mit dem Alias Kafeine wird die Schwachstelle bereits aktiv ausgenutzt. Bislang gibt es von Oracle keinen Patch. Das US-Cert empfiehlt, Java im Browser zu deaktivieren.

Der Fehler befindet sich im Security Manager im Java Runtime Environment 1.7 (JRE). Frühere Versionen sind nicht betroffen. Mit einer Kombination aus Java Management Extensions (JMX) MBean und den Objekten aus sun.org.mozilla.javascript.internal in einem Applet lässt sich der Security Manager aushebeln.

Der Fehler wird bereits aktiv genutzt. Der Hacker Kafeine sammelt Informationen über die Kits, in denen der Exploit bereits enthalten ist, darunter Nuclear Pack, Redkit oder Blackhole.

Der Security Manager soll verhindern, dass Applets unerlaubt auf Funktionen des Betriebssystems zugreifen. Laut einem Dokument von Oracle prüft ein Applet, ob ein Security Manager bereits installiert ist. Ist das der Fall, wird mit "setSecurityManager" geprüft, ob er ersetzt werden kann. Das kann laut Oracle eine Ausnahme auslösen. Das wiederum nutzt der Schadcode aus, um sich erhöhte Rechte im System zu genehmigen, ohne dass der Code des Applets entsprechend signiert werden muss.


debruehe 12. Jan 2013

So lange es Menschen gibt, die Malware verbreiten wollen, wird es auch immer wieder...

knalli 11. Jan 2013

Nun ja. In erster Linie geht es ja um Java-Applets in Browsern, welche immer in einer...

Kommentieren


Tobbis Blog / 12. Jan 2013

Sicherheitslücke in Java 7



Anzeige

  1. IT-Administrator/MS Dynamics NAV Systembetreuer (m/w)
    EMK Münzen & Edelmetalle, Erftstadt
  2. SAP-FI/CO-Inhouse-Berater (m/w)
    Zott SE & Co. KG, Mertingen Raum Augsburg
  3. Service Desk Mitarbeiter/in
    Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V., St. Augustin
  4. Software Projektmanager (m/w)
    MBtech Group GmbH & Co. KGaA, Stuttgart Sindelfingen

 

Detailsuche


Top-Angebote
  1. TIPP: WD Red Retail Kit (Einbau-Set) interne NAS-Festplatte 3TB 3,5" 5.400 RPM
    120,71€
  2. TIPP: Alien - Jubiläums Collection - 35 Jahre [Blu-ray]
    20,99€
  3. NUR NOCH HEUTE: 2 Blu-rays für 15 EUR
    (u. a. Captain Phillips, White House Down, Elysium, 2 Guns, The Amazing Spider-Man 1+2)

 

Weitere Angebote


Folgen Sie uns
       


  1. BND-Skandal

    EU-Kommissar Oettinger testet Kryptohandy

  2. BND-Affäre

    Keine Frage der Ehre

  3. Sensor ausgetrickst

    So klaut man eine Apple Watch

  4. CD Projekt Red

    The Witcher 3 hat Speicherproblem auf Xbox One

  5. Microsoft

    OneClip soll eine Cloud-Zwischenablage werden

  6. VR-Headset

    Klage gegen Oculus-Rift-Erfinder Palmer Luckey

  7. Salesforce

    55 Milliarden US-Dollar von Microsoft waren zu wenig

  8. Freedom Act

    US-Senat lehnt Gesetz zur NSA-Reform ab

  9. Die Woche im Video

    Pappe von Google, Fragen zur Überwachung und SSD im Test

  10. One Earth Message

    Bilder und Töne für Außerirdische



Haben wir etwas übersehen?

E-Mail an news@golem.de



Apps für Googles Cardboard: Her mit der Pappe!
Apps für Googles Cardboard
Her mit der Pappe!
  1. Game of Thrones Auf der Mauer weht ein eisiger Wind
  2. VR im Journalismus So nah, dass es fast wehtut
  3. Deep angespielt "Atme tief ein und tauche durch die virtuelle Welt"

BND-Selektorenaffäre: Die stille Löschaktion des W. O.
BND-Selektorenaffäre
Die stille Löschaktion des W. O.
  1. BND-Chef Schindler "Wir sind abhängig von der NSA"
  2. BND-Metadatensuche "Die Nadel im Heuhaufen ist zerbrochen"
  3. NSA Streit um Selektoren-Liste zwischen Gabriel und Steinmeier

SSD HyperX Predator im Test: Kingstons Mischung ist gelungen
SSD HyperX Predator im Test
Kingstons Mischung ist gelungen
  1. Z-Drive 6300 Neue SSD bietet bis zu 6,4 TByte Speicherplatz
  2. Crucial BX100 und MX200 im Test Mehr SSD pro Euro gibt's derzeit nicht
  3. Plextor M6e Black Edition im Kurztest Auch eine günstige SSD kann teuer erkauft sein

  1. Re: Hirn aus, Burger rein.

    Der Held vom... | 11:18

  2. Geht doch

    exxo | 11:10

  3. Die Roaminggebühren sind mir egal

    RipClaw | 11:10

  4. BND-Führung = Fensterarbeitsplätze

    Braineh | 11:07

  5. Re: Wenns was zu holen gibt kreisen die Geier....

    exxo | 11:06


  1. 10:53

  2. 09:00

  3. 15:05

  4. 14:35

  5. 14:14

  6. 13:52

  7. 12:42

  8. 11:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel