Abo
  • Services:
Anzeige
Sicherheitslücke in Java wird aktiv ausgenutzt.
Sicherheitslücke in Java wird aktiv ausgenutzt. (Bild: Andreas Donath/Golem.de)

Zero-Day-Exploit: Neues Sicherheitsloch in Java wird aktiv ausgenutzt

Sicherheitslücke in Java wird aktiv ausgenutzt.
Sicherheitslücke in Java wird aktiv ausgenutzt. (Bild: Andreas Donath/Golem.de)

In der jüngst aktualisierten Java-Version befindet sich ein weiteres Sicherheitsloch, das bereits aktiv ausgenutzt wird. Nutzer sollten die automatisierte Ausführung von Java-Applets deaktivieren und Java nur dann zulassen, wenn der Urheber absolut vertrauenswürdig ist.

Angreifer nutzen derzeit aktiv ein Sicherheitsloch in Oracles Java Virtual Machine (JVM) aus, warnen die Sicherheitsexperten von Fire Eye. Über die Sicherheitslücke versuchen die Angreifer, den Security Manager von Java auszuhebeln, um beliebigen Code nachzuladen und schadhaften Programmcode auszuführen. Der Exploit-Code greift direkt auf den Speicher der Java Virtual Machine zu und umgeht auf diesem Wege den Security Manager.

Anzeige

Von dem Problem sind auch Nutzer betroffen, die Java 1.6 Update 41 oder Java 1.7 Update 15 installiert haben. Derzeit gibt es von Oracle kein Update, um die Sicherheitslücke in Java zu beseitigen. Nach Erkenntnissen von Fire Eye wurden bereits mehrere Kunden des Sicherheitsanbieters von dem Angriff heimgesucht.

Nach der Analyse der Sicherheitsexperten arbeitet der Exploit-Code bisher nicht ganz zuverlässig. Zwar gelingt immer das Nachladen des Schadcodes, allerdings hapert es bei der Ausführung des Codes. Dennoch sieht Fire Eyes eine große Gefahr davon ausgehen und entschied sich, die Öffentlichkeit zu informieren.

Derzeit ist nicht bekannt, ob die gleiche Java-Sicherheitslücke auch der Grund dafür war, dass Mozilla das Java-Plugin in Firefox blockiert. Java wird erst nach ausdrücklicher Zustimmung des Nutzers aktiviert. Auch andere Browser wie Chrome und Opera können so eingestellt werden, dass Plugins nicht automatisch, sondern erst nach expliziter Zustimmung ausgeführt werden. Ansonsten können Nutzer Java aus Sicherheitsgründen komplett deinstallieren, falls sie keine Webseiten besuchen, die Java benötigen.

Im Februar 2012 hatte Oracle zwei Sicherheitspatches für die Java Virtual Machine veröffentlicht.


eye home zur Startseite
Dr.Glitch 02. Mär 2013

@Th3Dan Ja, irgendwie erinnert's mich an "hassonybeenhackedthisweek.com". Schade, dass...

Plany 01. Mär 2013

das ist so ... ermüdend ... alle 2 tage "AAH KRITISCHE JAVA LÜCKE" zu lesen ...

couchpotato 01. Mär 2013

Kann ich nicht bestätigen. Die allermeisten Java Anwendungen laufen mit OpenJDK genauso...

Dr.Glitch 01. Mär 2013

Das sagt mir mein Gefühl auch. Das zu überprüfen wird aber ein Bisschen schwieriger...



Anzeige

Stellenmarkt
  1. Stabilus GmbH, Koblenz
  2. DATAGROUP Köln GmbH, Köln (Home-Office)
  3. Versicherungskammer Bayern, München
  4. Bizerba SE & Co. KG, Balingen


Anzeige
Top-Angebote
  1. 189,00€ + 4,99€ Versand (Vergleichspreis 224€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Delid Die Mate 2

    Prozessoren köpfen leichter gemacht

  2. Rückzieher

    Assange will nun doch nicht in die USA

  3. Oracle

    Critical-Patch-Update schließt 270 Sicherheitslücken

  4. Android 7.0

    Samsung verteilt Nougat-Update für S7-Modelle

  5. Forcepoint

    Carbanak nutzt Google-Dienste für Malware-Hosting

  6. Fabric

    Google kauft Twitters App-Werkzeuge mit Milliarden Nutzern

  7. D-Link

    Büro-Switch mit PoE-Passthrough - aber wenig Anschlüssen

  8. Flash und Reader

    Adobe liefert XSS-Lücke als Sicherheitsupdate

  9. GW4 und Mont-Blanc-Projekt

    In Europa entstehen zwei ARM-Supercomputer

  10. Kabelnetz

    Vodafone stellt Bayern auf 1 GBit/s um



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  2. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel
  3. Raspberry Pi Compute Module 3 ist verfügbar

Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

  1. Re: "Sentence Commuted" IST NICHT GLEICH PARDON

    Surry | 20:03

  2. Rust?

    EQuatschBob | 20:01

  3. Mozilla und das offene Web: Erstmal EME...

    EQuatschBob | 20:00

  4. Re: Randlos rockt

    Headcool | 19:58

  5. Re: Wie ist das bei AMD?

    Steffo | 19:58


  1. 18:28

  2. 18:07

  3. 17:51

  4. 16:55

  5. 16:19

  6. 15:57

  7. 15:31

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel