Abo
  • Services:
Anzeige
Sicherheitslücke in Java wird aktiv ausgenutzt.
Sicherheitslücke in Java wird aktiv ausgenutzt. (Bild: Andreas Donath/Golem.de)

Zero-Day-Exploit: Neues Sicherheitsloch in Java wird aktiv ausgenutzt

Sicherheitslücke in Java wird aktiv ausgenutzt.
Sicherheitslücke in Java wird aktiv ausgenutzt. (Bild: Andreas Donath/Golem.de)

In der jüngst aktualisierten Java-Version befindet sich ein weiteres Sicherheitsloch, das bereits aktiv ausgenutzt wird. Nutzer sollten die automatisierte Ausführung von Java-Applets deaktivieren und Java nur dann zulassen, wenn der Urheber absolut vertrauenswürdig ist.

Angreifer nutzen derzeit aktiv ein Sicherheitsloch in Oracles Java Virtual Machine (JVM) aus, warnen die Sicherheitsexperten von Fire Eye. Über die Sicherheitslücke versuchen die Angreifer, den Security Manager von Java auszuhebeln, um beliebigen Code nachzuladen und schadhaften Programmcode auszuführen. Der Exploit-Code greift direkt auf den Speicher der Java Virtual Machine zu und umgeht auf diesem Wege den Security Manager.

Anzeige

Von dem Problem sind auch Nutzer betroffen, die Java 1.6 Update 41 oder Java 1.7 Update 15 installiert haben. Derzeit gibt es von Oracle kein Update, um die Sicherheitslücke in Java zu beseitigen. Nach Erkenntnissen von Fire Eye wurden bereits mehrere Kunden des Sicherheitsanbieters von dem Angriff heimgesucht.

Nach der Analyse der Sicherheitsexperten arbeitet der Exploit-Code bisher nicht ganz zuverlässig. Zwar gelingt immer das Nachladen des Schadcodes, allerdings hapert es bei der Ausführung des Codes. Dennoch sieht Fire Eyes eine große Gefahr davon ausgehen und entschied sich, die Öffentlichkeit zu informieren.

Derzeit ist nicht bekannt, ob die gleiche Java-Sicherheitslücke auch der Grund dafür war, dass Mozilla das Java-Plugin in Firefox blockiert. Java wird erst nach ausdrücklicher Zustimmung des Nutzers aktiviert. Auch andere Browser wie Chrome und Opera können so eingestellt werden, dass Plugins nicht automatisch, sondern erst nach expliziter Zustimmung ausgeführt werden. Ansonsten können Nutzer Java aus Sicherheitsgründen komplett deinstallieren, falls sie keine Webseiten besuchen, die Java benötigen.

Im Februar 2012 hatte Oracle zwei Sicherheitspatches für die Java Virtual Machine veröffentlicht.


eye home zur Startseite
Dr.Glitch 02. Mär 2013

@Th3Dan Ja, irgendwie erinnert's mich an "hassonybeenhackedthisweek.com". Schade, dass...

Plany 01. Mär 2013

das ist so ... ermüdend ... alle 2 tage "AAH KRITISCHE JAVA LÜCKE" zu lesen ...

couchpotato 01. Mär 2013

Kann ich nicht bestätigen. Die allermeisten Java Anwendungen laufen mit OpenJDK genauso...

Dr.Glitch 01. Mär 2013

Das sagt mir mein Gefühl auch. Das zu überprüfen wird aber ein Bisschen schwieriger...



Anzeige

Stellenmarkt
  1. Daimler AG, Leinfelden-Echterdingen
  2. über Ratbacher GmbH, Stuttgart (Home-Office möglich)
  3. Thalia Bücher GmbH, Hagen (Raum Dortmund)
  4. Daimler AG, Stuttgart


Anzeige
Top-Angebote
  1. (u. a. 3x B12-PS 120mm für 49,90€, 3x B14-1 140mm für 63,90€)
  2. (u. a. 5€ Gratis-PSN-Guthaben zur PlayStation-Plus-Mitgliedschaft)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. USA

    Samsung will Note 7 in Backsteine verwandeln

  2. Hackerangriffe

    Obama will Einfluss Russlands auf US-Wahl untersuchen lassen

  3. Free 2 Play

    US-Amerikaner verzockte 1 Million US-Dollar in Game of War

  4. Die Woche im Video

    Bei den Abmahnanwälten knallen wohl schon die Sektkorken

  5. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  6. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  7. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  8. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  9. Kein Internet

    Nach Windows-Update weltweit Computer offline

  10. Display Core

    Kernel-Community lehnt AMDs Linux-Treiber weiter ab



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gigaset Mobile Dock im Test: Das Smartphone wird DECT-fähig
Gigaset Mobile Dock im Test
Das Smartphone wird DECT-fähig

Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

Oculus Touch im Test: Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
Oculus Touch im Test
Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
  1. Microsoft Oculus Rift bekommt Kinomodus für Xbox One
  2. Gestensteuerung Oculus Touch erscheint im Dezember für 200 Euro
  3. Facebook Oculus zeigt drahtloses VR-Headset mit integriertem Tracking

  1. Re: Die Darstellung ist etwas einseitig

    Dullahan | 15:30

  2. Wird hier ein "Narrative" vorbereitet?

    Sinnfrei | 15:28

  3. Re: Diese ganzen angeblichen F2P sollte man...

    DetlevCM | 15:26

  4. Re: EWE ist ganz übel

    sneaker | 15:24

  5. Re: vergleichbar mit glücksspiel

    drsnuggles79 | 15:24


  1. 12:53

  2. 12:14

  3. 11:07

  4. 09:01

  5. 18:40

  6. 17:30

  7. 17:13

  8. 16:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel