Abo
  • Services:
Anzeige

Lücke in aktueller Java-Version bringt Anwender in Gefahr

Oracle stuft laut Entdecker die Lücke als nicht kritisch ein

Oracles, vormals Suns Java Runtime Environment ist für Angriffe anfällig. Ein Angreifer kann beliebige Dateien ausführen. Betroffen sind sowohl Windows-Installationen mit dem Internet Explorer als auch Firefox.

Tavis Ormandy hat auf der Full-Disclusure-Mailingliste Details zu einer offenen Sicherheitslücke im Java Deployment Toolkit veröffentlicht. Das Deployment Toolkit ist eine Komponente von Java für Entwickler, besonders einfach Anwendungen beim Endanwender zu starten und zu installieren. Über manipulierte Links lässt sich allerdings mehr einschleusen, als ursprünglich vorgesehen war. Da die URLs nicht ausreichend überprüft werden, ist es möglich, weitere Argumente etwa an Java Web Start zu übergeben. Java Web Start bietet dann genug Möglichkeiten, um Code auszuführen, der nicht im Sinne des Endanwenders ist.

Anzeige

Heise Security hat den Exploit bereits getestet, kam allerdings zu gemischten Ergebnissen. Unter Windows XP mit Java 6 Update 18 gelang es über den Internet Explorer, eine Anwendung zu starten. Tests mit Firefox funktionierten nicht, obwohl der Exploit auch mit diesem Browser funktionieren soll. Windows 7 und IE8 waren in diesem Test auch nicht anfällig. Das bedeutet allerdings nicht, dass der Exploit nicht irgendwann dennoch lauffähig auf anderen Plattformen wird.

Anfällig für den Exploit sollen alle Java-Versionen ab 1.6.0_10 sein, also auch das aktuelle Update 19. Da der Fehler sehr einfach zu finden sein soll, geht Ormandy davon aus, dass der Fehler schon lange bekannt ist und vermutlich schon ausgenutzt wird. Potenziell soll sogar Linux angreifbar sein.

Ormandy weist zudem darauf hin, dass ein Downgrade von Java auch möglich wäre. So twittert er, dass Angreifer das Opfer auf niedrigere Java-Versionen herunterstufen können. Dort ist, allerdings auskommentiert, eine Installation von Java 1.4.2_18 vorgesehen.

Wer Java nicht braucht, sollte es vorsichtshalber deinstallieren. In dem Full-Disclosure-Eintrag sind auch andere Lösungswege aufgelistet, die unter anderem das Setzen von Active-X-Killbits und das Verhindern eines Zugriffs auf npdeploytk.dll per ACL beschreiben.


eye home zur Startseite
Boo 26. Apr 2010

Andauernd. Wie viele JARs brauchst Du denn? Wenn Du Schwierigkeiten hast den Überblick...

cyrob 12. Apr 2010

Zumindest keine, mit denen man Programme auf dem Client-PC ausführen kann. Sooooo sicher...

kann's besser 12. Apr 2010

Was hat der bug in JAVA mit windows zu tun? So buggy kann nur ein Pinguin denken. :D Ich...

Bahn 12. Apr 2010

Sehr geehrter Internet-Kollege! Leider verstehe ich Ihren Text nicht - bitte setzen Sie...

Kallischalli 11. Apr 2010

Java im Web wirst du auch nicht oft finden. Oder meinst du etwas JavaScript?



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, München/Ottobrunn
  2. ZIEHL-ABEGG SE, Künzelsau
  3. Autobahndirektion Südbayern, München
  4. HUK-COBURG Versicherungsgruppe, Coburg


Anzeige
Blu-ray-Angebote
  1. 7,90€
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. 48,00€

Folgen Sie uns
       


  1. Private Division

    Rockstar-Games-Firma gründet Ableger für AAA-Indiegames

  2. Klage erfolgreich

    BND darf deutsche Metadaten nicht beliebig sammeln

  3. Neuer Bericht

    US-Behörden sollen kommerzielle Cloud-Dienste nutzen

  4. Übernahme

    Walt Disney kauft Teile von 21st Century Fox

  5. Deep Learning

    Googles Cloud-TPU-Cluster nutzen 4 TByte HBM-Speicher

  6. Leistungsschutzrecht

    EU-Staaten uneins bei Urheberrechtsreform

  7. E-Ticket Deutschland bei der BVG

    Bewegungspunkt am Straßenstrich

  8. Star Wars

    The-Last-Jedi-Update für Battlefront 2 veröffentlicht

  9. Airport mit 802.11n und neuere

    Apple sichert seine WLAN-Router gegen Krack-Angriff ab

  10. Bell UH-1

    Aurora Flight Sciences macht einen Hubschrauber zur Drohne



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
4K UHD HDR: Das ZDF hat das Internet nicht verstanden
4K UHD HDR
Das ZDF hat das Internet nicht verstanden
  1. Cisco und Lancom Wenn Spionagepanik auf Industriepolitik trifft
  2. Encrypted Media Extensions Web-DRM ist ein Standard für Nutzer

King's Field 1 (1994): Die Saat für Dark Souls
King's Field 1 (1994)
Die Saat für Dark Souls
  1. Blade Runner (1997) Die unsterbliche, künstliche Erinnerung
  2. SNES Classic Mini im Vergleichstest Putzige Retro-Konsole mit suboptimaler Emulation

Bundesregierung: Mit verdrehten Zahlen gegen die ePrivacy-Verordnung
Bundesregierung
Mit verdrehten Zahlen gegen die ePrivacy-Verordnung
  1. Druck der Filmwirtschaft EU-Parlament verteidigt Geoblocking bei Fernsehsendern
  2. Rechtsunsicherheit bei Cookies EU warnt vor Verzögerung von ePrivacy-Verordnung
  3. Datenschutz EU-Parlament stimmt ePrivacy-Verordnung zu

  1. Gegenbeispiel: China

    2ge | 02:50

  2. Re: Da stellt sich dann doch die Frage...

    plutoniumsulfat | 02:01

  3. Re: Irgendwie macht "konkurrierende Minecraft...

    plutoniumsulfat | 01:51

  4. Re: Was bedeutet mittlerweile Indie-Game?

    ML82 | 01:38

  5. Re: Was passiert nach 2 Jahren

    Dadie | 01:33


  1. 16:10

  2. 15:30

  3. 15:19

  4. 14:50

  5. 14:44

  6. 14:43

  7. 14:05

  8. 12:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel