Java Kritische Sicherheitslücke im Security Manager

In allen Java-Versionen inklusive Java 7, Update 10, ist eine kritische Sicherheitslücke, die bereits aktiv genutzt wird. Dabei wird ein Fehler im Security Manager ausgenutzt. Über Webseiten eingeschleuster Schadcode kann mit Administratorrechten ausgeführt werden.

Anzeige

In Java ist abermals eine kritische Sicherheitslücke entdeckt worden. Sie tritt in allen Versionen von Java 7, einschließlich Update 10, auf. Das US-Cert hat bereits eine Warnung (CVE-2012-4681) herausgegeben. Laut dem Entdecker des Fehlers mit dem Alias Kafeine wird die Schwachstelle bereits aktiv ausgenutzt. Bislang gibt es von Oracle keinen Patch. Das US-Cert empfiehlt, Java im Browser zu deaktivieren.

Der Fehler befindet sich im Security Manager im Java Runtime Environment 1.7 (JRE). Frühere Versionen sind nicht betroffen. Mit einer Kombination aus Java Management Extensions (JMX) MBean und den Objekten aus sun.org.mozilla.javascript.internal in einem Applet lässt sich der Security Manager aushebeln.

Der Fehler wird bereits aktiv genutzt. Der Hacker Kafeine sammelt Informationen über die Kits, in denen der Exploit bereits enthalten ist, darunter Nuclear Pack, Redkit oder Blackhole.

Der Security Manager soll verhindern, dass Applets unerlaubt auf Funktionen des Betriebssystems zugreifen. Laut einem Dokument von Oracle prüft ein Applet, ob ein Security Manager bereits installiert ist. Ist das der Fall, wird mit "setSecurityManager" geprüft, ob er ersetzt werden kann. Das kann laut Oracle eine Ausnahme auslösen. Das wiederum nutzt der Schadcode aus, um sich erhöhte Rechte im System zu genehmigen, ohne dass der Code des Applets entsprechend signiert werden muss.

Kommentarübersicht
Re: Java war, ist und bleibt gefährlich
debruehe 12. Jan 2013

So lange es Menschen gibt, die Malware verbreiten wollen, wird es auch immer wieder...

Re: Welches OS?
knalli 11. Jan 2013

Nun ja. In erster Linie geht es ja um Java-Applets in Browsern, welche immer in einer...

Kommentieren

Trackbacks

Tobbis Blog / 12. Jan 2013

Sicherheitslücke in Java 7

Anzeige
Stellenmarkt
  1. Corporate Security Officer (m/w)
    Bremer Landesbank, Bremen
  2. Software-Entwickler PHP / MySQL (m/w)
    jobvector/Capsid GmbH, Düsseldorf
  3. Softwareentwickler (m/w)
    DAK-Gesundheit, Bocholt
  4. Projektmanager (m/w) Regional Finance
    Fresenius Kabi Deutschland GmbH, Bad Homburg

 

Detailsuche

Folgen Sie uns
       
Videos
iOS 7 auf dem iPhone 5 ausprobiert iOS 7 auf dem iPhone 5 ausprobiert
Ticker
  1. Merkel zu Prism

    "Das Internet ist für uns alle Neuland"

  2. Flutkatastrophe

    Ein Spendenkonzert, die Gema und das Prinzip

  3. Load Impact

    Lasttests ganz einfach

  4. Butterfly S

    HTC verbessert sein erstes 5-Zoll-Smartphone

  5. Neue Rennspiele

    Forza 5, Drive Club und Gran Turismo 6 angespielt

  6. MySQL

    Man-Pages stehen nicht mehr unter der GPL

  7. Omni

    Spurts und Schleicheinlagen im Wohnzimmer

  8. Prism

    US-Spähprogramme sollen 50 Anschläge verhindert haben

  9. JDownloader2

    Downloadfunktion für Streaming in Deutschland verboten

  10. Canonical

    Telekom tritt Beratergruppe für Ubuntu Touch bei

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Internetsperren
Opt-out-Zwang: Großbritannien führt ab 2014 Pornofilter für alle ein
Opt-out-Zwang
Großbritannien führt ab 2014 Pornofilter für alle ein

Was erst nur für Neukunden galt, bekommen jetzt alle Kunden von Internet Service Providern und Nutzer öffentlicher WLANs: Pornofilter. Doch sie lassen sich (noch) ausschalten.

  1. Eco EU streicht Mittel für Bekämpfung von Kinderpornografie
  2. Urheberrecht Schweizer Rechteinhaber wollen Websites sperren
  3. Filesharing Schweiz will Internetsperren auf das Urheberrecht ausweiten
Wissenschaft
Echolokation: Raumvermessung mit intelligentem Algorithmus
Echolokation
Raumvermessung mit intelligentem Algorithmus

Schweizer Wissenschaftler haben eine neue Methode entwickelt, mit wenigen Mikrofonen komplexe Räume zu vermessen, ohne wie bisher dabei streng auf die Anordnung der Mikros achten zu müssen. Die Technik könnte in Zukunft in vielen Bereichen angewandt werden, auch auf Smartphones.

  1. Wearables MIT-Forscher experimentieren mit vibrotaktilem Display
  2. Teilchenphysik Beschleuniger ILC ist bereit für den Bau
  3. Implantat Aluminiumoxid schützt Siliziumchips
The Last of Us
Test The Last of Us: Meisterwerk der Playstation-3-Endzeit
Test The Last of Us
Meisterwerk der Playstation-3-Endzeit

Auf der gerade zu Ende gegangenen E3 2013 hat sich Sony mit überwiegend positivem Presseecho für die nächste Konsolengeneration in Stellung gebracht. The Last of Us lässt uns trotzdem für einen Augenblick vergessen, dass die Zeit der Playstation 3 schon bald vorbei sein soll.

  1. The Last of Us angespielt Überleben für Fortgeschrittene
Forumsbeiträge »
  1. Flutkatastrophe Ein Spendenkonzert, die Gema und das Prinzip

    Re: GEMA

    Tachim | 15:11

  2. Merkel zu Prism "Das Internet ist für uns alle Neuland"

    Re: Wenn das Internet für die Kanzlerin Neuland ist

    Wolf89 | 15:11

  3. JDownloader2 Downloadfunktion für Streaming in Deutschland verboten

    Re: Waffenhersteller verklagen?

    modder31415 | 15:09

  4. Flutkatastrophe Ein Spendenkonzert, die Gema und das Prinzip

    Re: Weils keine Spendenorganisation ist

    OpenMind | 15:09

  5. IP Nvidia bietet Lizenzen für Patente und Kepler-Architektur an

    Re: Armuts zeugniss

    nille02 | 15:08

Ticker »
  1. Merkel zu Prism "Das Internet ist für uns alle Neuland"

    14:32

  2. Flutkatastrophe Ein Spendenkonzert, die Gema und das Prinzip

    14:32

  3. Load Impact Lasttests ganz einfach

    14:23

  4. Butterfly S HTC verbessert sein erstes 5-Zoll-Smartphone

    13:56

  5. Neue Rennspiele Forza 5, Drive Club und Gran Turismo 6 angespielt

    13:44

  6. MySQL Man-Pages stehen nicht mehr unter der GPL

    13:37

  7. Omni Spurts und Schleicheinlagen im Wohnzimmer

    13:05

  8. Prism US-Spähprogramme sollen 50 Anschläge verhindert haben

    12:09

Zum Artikel