Abo
  • Services:
Anzeige
Sicherheitslücke in Java wird aktiv ausgenutzt.
Sicherheitslücke in Java wird aktiv ausgenutzt. (Bild: Andreas Donath/Golem.de)

Zero-Day-Exploit: Neues Sicherheitsloch in Java wird aktiv ausgenutzt

Sicherheitslücke in Java wird aktiv ausgenutzt.
Sicherheitslücke in Java wird aktiv ausgenutzt. (Bild: Andreas Donath/Golem.de)

In der jüngst aktualisierten Java-Version befindet sich ein weiteres Sicherheitsloch, das bereits aktiv ausgenutzt wird. Nutzer sollten die automatisierte Ausführung von Java-Applets deaktivieren und Java nur dann zulassen, wenn der Urheber absolut vertrauenswürdig ist.

Angreifer nutzen derzeit aktiv ein Sicherheitsloch in Oracles Java Virtual Machine (JVM) aus, warnen die Sicherheitsexperten von Fire Eye. Über die Sicherheitslücke versuchen die Angreifer, den Security Manager von Java auszuhebeln, um beliebigen Code nachzuladen und schadhaften Programmcode auszuführen. Der Exploit-Code greift direkt auf den Speicher der Java Virtual Machine zu und umgeht auf diesem Wege den Security Manager.

Anzeige

Von dem Problem sind auch Nutzer betroffen, die Java 1.6 Update 41 oder Java 1.7 Update 15 installiert haben. Derzeit gibt es von Oracle kein Update, um die Sicherheitslücke in Java zu beseitigen. Nach Erkenntnissen von Fire Eye wurden bereits mehrere Kunden des Sicherheitsanbieters von dem Angriff heimgesucht.

Nach der Analyse der Sicherheitsexperten arbeitet der Exploit-Code bisher nicht ganz zuverlässig. Zwar gelingt immer das Nachladen des Schadcodes, allerdings hapert es bei der Ausführung des Codes. Dennoch sieht Fire Eyes eine große Gefahr davon ausgehen und entschied sich, die Öffentlichkeit zu informieren.

Derzeit ist nicht bekannt, ob die gleiche Java-Sicherheitslücke auch der Grund dafür war, dass Mozilla das Java-Plugin in Firefox blockiert. Java wird erst nach ausdrücklicher Zustimmung des Nutzers aktiviert. Auch andere Browser wie Chrome und Opera können so eingestellt werden, dass Plugins nicht automatisch, sondern erst nach expliziter Zustimmung ausgeführt werden. Ansonsten können Nutzer Java aus Sicherheitsgründen komplett deinstallieren, falls sie keine Webseiten besuchen, die Java benötigen.

Im Februar 2012 hatte Oracle zwei Sicherheitspatches für die Java Virtual Machine veröffentlicht.


eye home zur Startseite
Dr.Glitch 02. Mär 2013

@Th3Dan Ja, irgendwie erinnert's mich an "hassonybeenhackedthisweek.com". Schade, dass...

Plany 01. Mär 2013

das ist so ... ermüdend ... alle 2 tage "AAH KRITISCHE JAVA LÜCKE" zu lesen ...

couchpotato 01. Mär 2013

Kann ich nicht bestätigen. Die allermeisten Java Anwendungen laufen mit OpenJDK genauso...

Dr.Glitch 01. Mär 2013

Das sagt mir mein Gefühl auch. Das zu überprüfen wird aber ein Bisschen schwieriger...



Anzeige

Stellenmarkt
  1. INTENSE AG, Würzburg, Köln (Home-Office möglich)
  2. über Robert Half Technology, Dortmund
  3. nobilia-Werke J. Stickling GmbH & Co. KG, Verl
  4. TUI Deutschland GmbH, Hannover


Anzeige
Top-Angebote
  1. Um den 15-Prozent-Gutschein in Anspruch nehmen zu können, kaufen die Nutzer einfach ihren...
  2. (u. a. Jurassic World, Creed, Die Unfassbaren, Kingsman, John Wick, Interstellar, Mad Max)
  3. 99,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Jupitermond

    Nasa beobachtet Wasserdampf auf Europa

  2. Regierung

    Wie die Telekom bei Merkel ihre Interessen durchsetzt

  3. Embedded Radeon E9550

    AMD packt Polaris in 4K-Spieleautomaten

  4. Pay-TV

    Ultra-HD-Programm von Sky startet im Oktober

  5. Project Catapult

    Microsoft setzt massiv auf FPGAs

  6. Kabel

    Vodafone deckt mit 400 MBit/s fünf Millionen Haushalte ab

  7. Session Recovery

    Firefox und Chrome schreiben sehr viele Daten

  8. Windows 10 Enterprise

    Edge-Browser soll bald in virtueller Umgebung laufen

  9. Valve

    Oberfläche von Steam wird überarbeitet

  10. Tintenstrahldrucker

    Anbieter umgehen HPs Patronensperre



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Fifa 17 im Test: Mehr Drama auf dem Fußballplatz
Fifa 17 im Test
Mehr Drama auf dem Fußballplatz
  1. Fifa 17 Was macht Dragon Age in meiner Fifa-Demo?
  2. Electronic Arts Millionenliga mit dem Ultimate Team
  3. Fifa 17 Sonderpartnerschaft mit den Bayern

Original und Fork im Vergleichstest: Nextcloud will das bessere Owncloud sein
Original und Fork im Vergleichstest
Nextcloud will das bessere Owncloud sein
  1. Koop mit Canonical und WDLabs Nextcloud Box soll eigenes Hosten ermöglichen
  2. Kollaborationsserver Nextcloud 10 verbessert Server-Administration
  3. Open Source Nextcloud setzt sich mit Enterprise-Support von Owncloud ab

X1D ausprobiert: Die Hasselblad für Einsteiger
X1D ausprobiert
Die Hasselblad für Einsteiger
  1. Modulares Smartphone Lenovo bringt Moto Z mit Moto Z Play nach Deutschland

  1. Re: es gibt kein content fur 4k :D

    joypad | 17:15

  2. Re: Wie kleine Kinder ...

    Oktavian | 17:14

  3. Re: 22.000

    ArcherV | 17:12

  4. Re: Spielt das überhaupt noch wer?

    m245m | 17:11

  5. Re: Und jetzt könnte das EU-Parlament

    caldeum | 17:10


  1. 15:51

  2. 15:35

  3. 15:00

  4. 14:18

  5. 13:54

  6. 13:24

  7. 13:15

  8. 13:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel