Eine weitere Sicherheitslücke in Java wird aktiv ausgenutzt.
Eine weitere Sicherheitslücke in Java wird aktiv ausgenutzt. (Bild: Oracle)

Java Kritische Sicherheitslücke im Security Manager

In allen Java-Versionen inklusive Java 7, Update 10, ist eine kritische Sicherheitslücke, die bereits aktiv genutzt wird. Dabei wird ein Fehler im Security Manager ausgenutzt. Über Webseiten eingeschleuster Schadcode kann mit Administratorrechten ausgeführt werden.

Anzeige

In Java ist abermals eine kritische Sicherheitslücke entdeckt worden. Sie tritt in allen Versionen von Java 7, einschließlich Update 10, auf. Das US-Cert hat bereits eine Warnung (CVE-2012-4681) herausgegeben. Laut dem Entdecker des Fehlers mit dem Alias Kafeine wird die Schwachstelle bereits aktiv ausgenutzt. Bislang gibt es von Oracle keinen Patch. Das US-Cert empfiehlt, Java im Browser zu deaktivieren.

Der Fehler befindet sich im Security Manager im Java Runtime Environment 1.7 (JRE). Frühere Versionen sind nicht betroffen. Mit einer Kombination aus Java Management Extensions (JMX) MBean und den Objekten aus sun.org.mozilla.javascript.internal in einem Applet lässt sich der Security Manager aushebeln.

Der Fehler wird bereits aktiv genutzt. Der Hacker Kafeine sammelt Informationen über die Kits, in denen der Exploit bereits enthalten ist, darunter Nuclear Pack, Redkit oder Blackhole.

Der Security Manager soll verhindern, dass Applets unerlaubt auf Funktionen des Betriebssystems zugreifen. Laut einem Dokument von Oracle prüft ein Applet, ob ein Security Manager bereits installiert ist. Ist das der Fall, wird mit "setSecurityManager" geprüft, ob er ersetzt werden kann. Das kann laut Oracle eine Ausnahme auslösen. Das wiederum nutzt der Schadcode aus, um sich erhöhte Rechte im System zu genehmigen, ohne dass der Code des Applets entsprechend signiert werden muss.


debruehe 12. Jan 2013

So lange es Menschen gibt, die Malware verbreiten wollen, wird es auch immer wieder...

knalli 11. Jan 2013

Nun ja. In erster Linie geht es ja um Java-Applets in Browsern, welche immer in einer...

Kommentieren


Tobbis Blog / 12. Jan 2013

Sicherheitslücke in Java 7



Anzeige

  1. Senior Software-Entwickler/in Java
    Bosch Energy and Building Solutions GmbH, Ismaning
  2. Projektleiter/-in
    asim, Waiblingen
  3. HR Expert e-Recruitment (m/w)
    Roche Diagnostics GmbH, Penzberg
  4. Implementation Consultant (m/w)
    Dennemeyer, Luxembourg

 

Detailsuche


Spiele-Angebote
  1. NEU: DriveClub Steelbook Edition - [PlayStation 4]
    40,00€
  2. NEU: Watch Dogs - Deluxe Digital Edition [PC Download]
    22,97€
  3. NEU: Far Cry 3 (100% uncut) Digital Deluxe Edition Download
    9,97€

 

Weitere Angebote


Folgen Sie uns
       


  1. Mobiltelefonie

    UMTS-Verschlüsselung ausgehebelt

  2. Circuitscribe ausprobiert

    Stromkreise malen für Teenies

  3. Spiegelreflexkameras

    Gefälschte Nikon D800E im Umlauf

  4. Google Cardboard

    Mit VR-Pappbrille in Street View unterwegs

  5. Story Mode

    Telltale arbeiten an Minecraft-Episodenabenteuer

  6. Deutscher Entwicklerpreis 2014

    Lords of the Fallen schafft eines von drei Triples

  7. General vor dem NSA-Ausschuss

    Der Feuerwehrmann des BND

  8. Outcast 1.1

    Technisch überarbeiteter Klassiker bei Steam und GOG

  9. Microsoft

    Webbrowserauswahl in Windows ist abgeschafft

  10. Streaming

    Netflix schließt Offline-Videos kategorisch aus



Haben wir etwas übersehen?

E-Mail an news@golem.de



ROM-Ecke: Pac Man ROM - Android gibt alles
ROM-Ecke
Pac Man ROM - Android gibt alles
  1. ROM-Ecke Slimkat - viele Einstellungen und viel Schwarz

Security: Smarthomes, offen wie Scheunentore
Security
Smarthomes, offen wie Scheunentore
  1. Software-Plattform Bosch und Cisco gründen Joint Venture für Smart Home
  2. Pantelligent Die funkende Bratpfanne
  3. Smarthome Das intelligente Haus wird nie fertig

Jahresrückblick: Was 2014 bei Golem.de los war
Jahresrückblick
Was 2014 bei Golem.de los war
  1. In eigener Sache Golem.de sucht (Junior) Concepter/-in für Onlinewerbung
  2. In eigener Sache Golem.de offline und unplugged
  3. In eigener Sache Golem.de sucht Videoredakteur/-in

    •  / 
    Zum Artikel