Eine weitere Sicherheitslücke in Java wird aktiv ausgenutzt.
Eine weitere Sicherheitslücke in Java wird aktiv ausgenutzt. (Bild: Oracle)

Java Kritische Sicherheitslücke im Security Manager

In allen Java-Versionen inklusive Java 7, Update 10, ist eine kritische Sicherheitslücke, die bereits aktiv genutzt wird. Dabei wird ein Fehler im Security Manager ausgenutzt. Über Webseiten eingeschleuster Schadcode kann mit Administratorrechten ausgeführt werden.

Anzeige

In Java ist abermals eine kritische Sicherheitslücke entdeckt worden. Sie tritt in allen Versionen von Java 7, einschließlich Update 10, auf. Das US-Cert hat bereits eine Warnung (CVE-2012-4681) herausgegeben. Laut dem Entdecker des Fehlers mit dem Alias Kafeine wird die Schwachstelle bereits aktiv ausgenutzt. Bislang gibt es von Oracle keinen Patch. Das US-Cert empfiehlt, Java im Browser zu deaktivieren.

Der Fehler befindet sich im Security Manager im Java Runtime Environment 1.7 (JRE). Frühere Versionen sind nicht betroffen. Mit einer Kombination aus Java Management Extensions (JMX) MBean und den Objekten aus sun.org.mozilla.javascript.internal in einem Applet lässt sich der Security Manager aushebeln.

Der Fehler wird bereits aktiv genutzt. Der Hacker Kafeine sammelt Informationen über die Kits, in denen der Exploit bereits enthalten ist, darunter Nuclear Pack, Redkit oder Blackhole.

Der Security Manager soll verhindern, dass Applets unerlaubt auf Funktionen des Betriebssystems zugreifen. Laut einem Dokument von Oracle prüft ein Applet, ob ein Security Manager bereits installiert ist. Ist das der Fall, wird mit "setSecurityManager" geprüft, ob er ersetzt werden kann. Das kann laut Oracle eine Ausnahme auslösen. Das wiederum nutzt der Schadcode aus, um sich erhöhte Rechte im System zu genehmigen, ohne dass der Code des Applets entsprechend signiert werden muss.


debruehe 12. Jan 2013

So lange es Menschen gibt, die Malware verbreiten wollen, wird es auch immer wieder...

knalli 11. Jan 2013

Nun ja. In erster Linie geht es ja um Java-Applets in Browsern, welche immer in einer...

Kommentieren


Tobbis Blog / 12. Jan 2013

Sicherheitslücke in Java 7



Anzeige

  1. Software Application Engineer E-Commerce (m/w)
    Home Shopping Europe GmbH, Ismaning (Raum München)
  2. IT Projektleiter (m/w)
    AVL DiTEST über M & P Leading Search Partners GmbH, Fürth
  3. Software Engineer (m/w)
    con terra GmbH, Münster
  4. Senior Softwareentwickler für ERP-System (C/C++) (m/w)
    Einkaufsallianz Nord GmbH, Berlin

 

Detailsuche


Folgen Sie uns
       


  1. Open Data

    Cern befreit LHC-Kollisionsdaten

  2. Multimediabibliothek

    FFmpeg dank Debian wieder in Ubuntu

  3. Valve Software

    Neue Richtlinien für Early Access

  4. US-Musiker

    Nikki Sixx kritisiert Labels für magere Streaming-Profite

  5. Telemonitoring

    Generali will Fitnessdaten von Versicherten

  6. 3D-NAND

    Intel entwickelt Speicherbausteine für 2-TByte-SSDs

  7. Amazon Travel

    Amazon bereitet Hotelbuchungen vor

  8. Technik-Test Assassin's Creed Unity

    Paris - die Stadt der Liebe zu Details

  9. Libuv

    I/O-Bibliothek für Node.js und andere wird stabil

  10. Next-Gen-Geburtstag

    Xbox One und Playstation 4 sind eins



Haben wir etwas übersehen?

E-Mail an news@golem.de



Test Assassin's Creed Rogue: Abstecher zu den Templern
Test Assassin's Creed Rogue
Abstecher zu den Templern
  1. Assassin's Creed Unity Patch-Evolution statt Revolution
  2. Test Assassin's Creed Unity Schöner meucheln in Paris
  3. Radeon und Geforce Grafiktreiber von AMD und Nvidia für Call of Duty und Unity

IMHO zum Jugendmedienschutz: Altersschranke nützt nicht Kindern, sondern Erotikseiten
IMHO zum Jugendmedienschutz
Altersschranke nützt nicht Kindern, sondern Erotikseiten
  1. Pornofilter Internet Provider gegen britische Zensurkultur
  2. Internetzensur Tor und die große chinesische Firewall
  3. Kein britisches Modell Medienrat will Pornofilter ohne Voraktivierung

Lichtfeldkamera Lytro Illum: Das Spiel mit der Tiefenschärfe
Lichtfeldkamera Lytro Illum
Das Spiel mit der Tiefenschärfe
  1. Lichtfeldkamera Lytro will in neue Märkte einsteigen
  2. Augmented Reality Google investiert 542 Millionen US-Dollar in Magic Leap
  3. Lytro Lichtfeldfotografie bildet die Tiefe der Welt ab

    •  / 
    Zum Artikel