Eine weitere Sicherheitslücke in Java wird aktiv ausgenutzt.
Eine weitere Sicherheitslücke in Java wird aktiv ausgenutzt. (Bild: Oracle)

Java Kritische Sicherheitslücke im Security Manager

In allen Java-Versionen inklusive Java 7, Update 10, ist eine kritische Sicherheitslücke, die bereits aktiv genutzt wird. Dabei wird ein Fehler im Security Manager ausgenutzt. Über Webseiten eingeschleuster Schadcode kann mit Administratorrechten ausgeführt werden.

Anzeige

In Java ist abermals eine kritische Sicherheitslücke entdeckt worden. Sie tritt in allen Versionen von Java 7, einschließlich Update 10, auf. Das US-Cert hat bereits eine Warnung (CVE-2012-4681) herausgegeben. Laut dem Entdecker des Fehlers mit dem Alias Kafeine wird die Schwachstelle bereits aktiv ausgenutzt. Bislang gibt es von Oracle keinen Patch. Das US-Cert empfiehlt, Java im Browser zu deaktivieren.

Der Fehler befindet sich im Security Manager im Java Runtime Environment 1.7 (JRE). Frühere Versionen sind nicht betroffen. Mit einer Kombination aus Java Management Extensions (JMX) MBean und den Objekten aus sun.org.mozilla.javascript.internal in einem Applet lässt sich der Security Manager aushebeln.

Der Fehler wird bereits aktiv genutzt. Der Hacker Kafeine sammelt Informationen über die Kits, in denen der Exploit bereits enthalten ist, darunter Nuclear Pack, Redkit oder Blackhole.

Der Security Manager soll verhindern, dass Applets unerlaubt auf Funktionen des Betriebssystems zugreifen. Laut einem Dokument von Oracle prüft ein Applet, ob ein Security Manager bereits installiert ist. Ist das der Fall, wird mit "setSecurityManager" geprüft, ob er ersetzt werden kann. Das kann laut Oracle eine Ausnahme auslösen. Das wiederum nutzt der Schadcode aus, um sich erhöhte Rechte im System zu genehmigen, ohne dass der Code des Applets entsprechend signiert werden muss.


debruehe 12. Jan 2013

So lange es Menschen gibt, die Malware verbreiten wollen, wird es auch immer wieder...

knalli 11. Jan 2013

Nun ja. In erster Linie geht es ja um Java-Applets in Browsern, welche immer in einer...

Kommentieren


Tobbis Blog / 12. Jan 2013

Sicherheitslücke in Java 7



Anzeige

  1. Entwicklungsingenieur Applikationsmethodik und Software (m/w)
    MBtech Group GmbH & Co. KGaA, Fellbach bei Stuttgart
  2. IT Service Owner (m/w)
    IKEA IT Germany GmbH, Hofheim-Wallau
  3. Chief Product Owner (m/w)
    meinestadt.de, Köln
  4. Funktionsleiter/-in Zeitwirtschaft
    ZF Friedrichshafen AG, Friedrichshafen

 

Detailsuche


Top-Angebote
  1. 3D-Blu-rays reduziert
    (u. a. Jurassic Park 12,97€, Ich einfach unverbesserlich 1&2 für 19,97€)
  2. Blu-rays je 8,97 EUR
    (u. a. The Wolf of Wall Street, 12 Years a Slave, American Hustle, Prisoners)
  3. TIPP: Blu-rays je 5 EUR
    (u. a. Dead Man Running, Romance & Cigarettes, Legendary, Tad Stones)

 

Weitere Angebote


Folgen Sie uns
       


  1. Vodafone

    "Mobilfunkpreise sollten zur Finanzierung von 5G steigen"

  2. Acer Liquid M220

    Markteinstieg mit Windows Phone für 90 Euro

  3. Ted Unangst

    OpenBSD will Browser sicherer machen

  4. Dual-Boot

    Console OS bringt Android-Spiele auf x86-Rechner

  5. Streaming

    O2 will trotz Drosselung Watchever anbieten

  6. Mozilla-Browser

    64-Bit-Firefox ist bereit für Alpha-Tests

  7. Leistungsschutzrecht

    Wie die VG Media der Google-Konkurrenz das Leben schwermacht

  8. Modulares Smartphone im Hands on

    Kinder spielen Lego, Große spielen Ara

  9. Signal 2.0

    Kostenlose verschlüsselte Nachrichten von iOS an Android

  10. MT8173

    Mediatek hat den ersten Tablet-Chip mit A72-Kernen



Haben wir etwas übersehen?

E-Mail an news@golem.de



Die Woche im Video: Abenteurer, Adware und ein fixer Anschluss
Die Woche im Video
Abenteurer, Adware und ein fixer Anschluss
  1. Die Woche im Video Ein Spionagering, Marskandidaten und Linux für den Desktop
  2. Die Woche im Video New 3DS, Stromzähler und der schnellste Smartphone-Chip
  3. Die Woche im Video Raspberry Pi 2, die Telekom am DE-CIX und Alienware Alpha

Raspberry Pi 2: Die Feierabend-Maschine
Raspberry Pi 2
Die Feierabend-Maschine
  1. Bastelrechner Das Raspberry Pi 2 hat viermal mehr Wumms
  2. Dual-Monitor-Betrieb VGA-Anschluss für Plus-Modelle des Raspberry Pi
  3. Bitscope Micro im Test Oszilloskop und Logic Analyzer für den Bastelrechner

IMHO: Automotive ist das neue Internet of Things
IMHO
Automotive ist das neue Internet of Things
  1. Uber-Konkurrent Kommt bald das Google-Taxi ohne Fahrer?
  2. Bundesverkehrsminister Autonome Autos sollen in zehn Jahren normal sein
  3. Autobahn Ruhrgebiet soll Testgebiet für autonomes Fahren werden

  1. Re: Bitte endlich was mit Zukunft

    Ovaron | 17:31

  2. Re: Die Kritiker wussten es schon vorher

    tingelchen | 17:30

  3. Re: Natürlich gibt es geplante Obsoleszenz

    Koto | 17:30

  4. Re: Und es wird nicht leichter dadurch, dass...

    Thunder_ | 17:30

  5. Re: Energieerhaltung

    plutoniumsulfat | 17:30


  1. 17:14

  2. 16:53

  3. 16:41

  4. 15:47

  5. 15:42

  6. 13:58

  7. 13:44

  8. 13:22


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel