Java: Kritische Sicherheitslücke im Security Manager
Eine weitere Sicherheitslücke in Java wird aktiv ausgenutzt. (Bild: Oracle)

Java Kritische Sicherheitslücke im Security Manager

In allen Java-Versionen inklusive Java 7, Update 10, ist eine kritische Sicherheitslücke, die bereits aktiv genutzt wird. Dabei wird ein Fehler im Security Manager ausgenutzt. Über Webseiten eingeschleuster Schadcode kann mit Administratorrechten ausgeführt werden.

Anzeige

In Java ist abermals eine kritische Sicherheitslücke entdeckt worden. Sie tritt in allen Versionen von Java 7, einschließlich Update 10, auf. Das US-Cert hat bereits eine Warnung (CVE-2012-4681) herausgegeben. Laut dem Entdecker des Fehlers mit dem Alias Kafeine wird die Schwachstelle bereits aktiv ausgenutzt. Bislang gibt es von Oracle keinen Patch. Das US-Cert empfiehlt, Java im Browser zu deaktivieren.

Der Fehler befindet sich im Security Manager im Java Runtime Environment 1.7 (JRE). Frühere Versionen sind nicht betroffen. Mit einer Kombination aus Java Management Extensions (JMX) MBean und den Objekten aus sun.org.mozilla.javascript.internal in einem Applet lässt sich der Security Manager aushebeln.

Der Fehler wird bereits aktiv genutzt. Der Hacker Kafeine sammelt Informationen über die Kits, in denen der Exploit bereits enthalten ist, darunter Nuclear Pack, Redkit oder Blackhole.

Der Security Manager soll verhindern, dass Applets unerlaubt auf Funktionen des Betriebssystems zugreifen. Laut einem Dokument von Oracle prüft ein Applet, ob ein Security Manager bereits installiert ist. Ist das der Fall, wird mit "setSecurityManager" geprüft, ob er ersetzt werden kann. Das kann laut Oracle eine Ausnahme auslösen. Das wiederum nutzt der Schadcode aus, um sich erhöhte Rechte im System zu genehmigen, ohne dass der Code des Applets entsprechend signiert werden muss.


debruehe 12. Jan 2013

So lange es Menschen gibt, die Malware verbreiten wollen, wird es auch immer wieder...

knalli 11. Jan 2013

Nun ja. In erster Linie geht es ja um Java-Applets in Browsern, welche immer in einer...

Kommentieren


Tobbis Blog / 12. Jan 2013

Sicherheitslücke in Java 7



Anzeige

  1. Abteilungsleiter/in
    Robert Bosch GmbH, Renningen
  2. Java-Anwendungsentwickler / -innen
    Deutsche Bundesbank, Frankfurt am Main
  3. Projektleiter Software Standardisierung (m/w) Schwerpunkt Fördertechnik
    Dürr Systems GmbH, Bietigheim-Bissingen
  4. Business Analyst SAP (m/w)
    CSL Behring GmbH, Marburg

 

Detailsuche


Folgen Sie uns
       


  1. iPad Air 2 im Test

    Toll, aber kein Muss

  2. Nocomentator

    Filterkiste blendet Sportkommentare aus

  3. Gameworks

    Nvidia rollt den Rasen aus

  4. Rolling-Release

    Opensuse Factory und Tumbleweed werden zusammengeführt

  5. Project Ara

    Google will nicht nur das Smartphone neu erfinden

  6. Wildstar

    NC Soft entlässt Mitarbeiter

  7. Mozilla

    Einfache Web-Apps auf dem Smartphone erstellen

  8. Civ Beyond Earth Benchmark

    Schneller, ohne Mikroruckler und geringere Latenz mit Mantle

  9. Allview X2 Soul mini

    Sehr dünnes Smartphone im Alu-Gehäuse für 200 Euro

  10. Toybox Turbos

    Codemasters veranstaltet Rennen auf dem Frühstückstisch



Haben wir etwas übersehen?

E-Mail an news@golem.de



Kazam Tornado 348 ausprobiert: Das dünnste Smartphone der Welt hat ein versichertes Display
Kazam Tornado 348 ausprobiert
Das dünnste Smartphone der Welt hat ein versichertes Display

Nanotechnologie: Die unbekannten Teilchen
Nanotechnologie
Die unbekannten Teilchen
  1. Anode aus Titandioxid Neuer Akku lädt in wenigen Minuten
  2. Nanotechnologie Mit Nanoröhrchen gegen Produktfälschungen

Data Management: Wie Hauptspeicherdatenbanken arbeiten
Data Management
Wie Hauptspeicherdatenbanken arbeiten

    •  / 
    Zum Artikel