Anzeige
Eine weitere Sicherheitslücke in Java wird aktiv ausgenutzt.
Eine weitere Sicherheitslücke in Java wird aktiv ausgenutzt. (Bild: Oracle)

Java: Kritische Sicherheitslücke im Security Manager

Eine weitere Sicherheitslücke in Java wird aktiv ausgenutzt.
Eine weitere Sicherheitslücke in Java wird aktiv ausgenutzt. (Bild: Oracle)

In allen Java-Versionen inklusive Java 7, Update 10, ist eine kritische Sicherheitslücke, die bereits aktiv genutzt wird. Dabei wird ein Fehler im Security Manager ausgenutzt. Über Webseiten eingeschleuster Schadcode kann mit Administratorrechten ausgeführt werden.

In Java ist abermals eine kritische Sicherheitslücke entdeckt worden. Sie tritt in allen Versionen von Java 7, einschließlich Update 10, auf. Das US-Cert hat bereits eine Warnung (CVE-2012-4681) herausgegeben. Laut dem Entdecker des Fehlers mit dem Alias Kafeine wird die Schwachstelle bereits aktiv ausgenutzt. Bislang gibt es von Oracle keinen Patch. Das US-Cert empfiehlt, Java im Browser zu deaktivieren.

Anzeige

Der Fehler befindet sich im Security Manager im Java Runtime Environment 1.7 (JRE). Frühere Versionen sind nicht betroffen. Mit einer Kombination aus Java Management Extensions (JMX) MBean und den Objekten aus sun.org.mozilla.javascript.internal in einem Applet lässt sich der Security Manager aushebeln.

Der Fehler wird bereits aktiv genutzt. Der Hacker Kafeine sammelt Informationen über die Kits, in denen der Exploit bereits enthalten ist, darunter Nuclear Pack, Redkit oder Blackhole.

Der Security Manager soll verhindern, dass Applets unerlaubt auf Funktionen des Betriebssystems zugreifen. Laut einem Dokument von Oracle prüft ein Applet, ob ein Security Manager bereits installiert ist. Ist das der Fall, wird mit "setSecurityManager" geprüft, ob er ersetzt werden kann. Das kann laut Oracle eine Ausnahme auslösen. Das wiederum nutzt der Schadcode aus, um sich erhöhte Rechte im System zu genehmigen, ohne dass der Code des Applets entsprechend signiert werden muss.


eye home zur Startseite
debruehe 12. Jan 2013

So lange es Menschen gibt, die Malware verbreiten wollen, wird es auch immer wieder...

knalli 11. Jan 2013

Nun ja. In erster Linie geht es ja um Java-Applets in Browsern, welche immer in einer...


Tobbis Blog / 12. Jan 2013



Anzeige

Stellenmarkt
  1. über HRM CONSULTING GmbH, Heidelberg
  2. T-Systems International GmbH, Leinfelden-Echterdingen
  3. enercity, Region Hannover
  4. HALLHUBER GmbH, München


Anzeige
Top-Angebote
  1. (u. a. ROG Xonar Phoebus, Strix 2.0 Headset, Geforce GTX 960 Strix, Z170-P Mainboard, VG248QE...
  2. 49,99€ (auch Bestpreis für die Maus!)
  3. 299,00€

Folgen Sie uns
       


  1. Symantec und Norton

    Millionen Antivirennutzer für Schwachstelle verwundbar

  2. Bargeld nervt

    Startups und Kryptowährungen mischen die Finanzbranche auf

  3. Kickstarter

    System Shock sammelt Geld mit spielbarer Demo

  4. Windows 10

    Microsoft will Trickserei beim Upgrade beenden

  5. 3D-Druck

    Objektive in Haaresbreite

  6. Huashang Tengda

    Villa in 45 Tagen aus Beton gedruckt

  7. EOS-1D X Mark II

    Bilder gehen durch Sandisks CFast-Karten verloren

  8. Axon 7

    ZTEs Topsmartphone kommt für 450 Euro nach Deutschland

  9. Medienanstalten

    Analoge TV-Verbreitung bindet hohe Netzkapazitäten

  10. Vorstandard

    Nokia will bereits ein 5G-fähiges Netz haben



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wireless-HDMI im Test: Achtung Signalstörung!
Wireless-HDMI im Test
Achtung Signalstörung!
  1. Die Woche im Video E3, Oneplus Three und Apple ohne X

Rust: Ist die neue Programmiersprache besser?
Rust
Ist die neue Programmiersprache besser?
  1. Microsoft Plattformübergreifendes .Net Core erscheint in Version 1.0
  2. Oracle-Anwältin nach Niederlage "Google hat die GPL getötet"
  3. Java-Rechtsstreit Oracle verliert gegen Google

Autotracker Tanktaler: Wen juckt der Datenschutz, wenn's Geld gibt?
Autotracker Tanktaler
Wen juckt der Datenschutz, wenn's Geld gibt?
  1. Ubeeqo Europcar-App vereint Mietwagen, Carsharing und Taxis
  2. Rearvision Ex-Apple-Ingenieure entwickeln Dualautokamera
  3. Tod von Anton Yelchin Verwirrender Automatikhebel führte bereits zu 41 Unfällen

  1. Re: Mit Virtual Reality kommt schon die nächste...

    Lightrocker | 10:48

  2. Re: Microsoft ist nicht mehr zu trauen.

    david_rieger | 10:48

  3. Re: Probleme mit Win10

    Bouncy | 10:47

  4. Re: Britische Regierung hat versagt

    TheUnichi | 10:47

  5. Re: Was mich an rein digitalem Geld stört sind...

    Mingfu | 10:45


  1. 10:37

  2. 09:59

  3. 09:43

  4. 08:25

  5. 07:49

  6. 07:38

  7. 07:20

  8. 19:19


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel