• IT-Karriere:
  • Services:

Lücke in aktueller Java-Version bringt Anwender in Gefahr

Oracle stuft laut Entdecker die Lücke als nicht kritisch ein

Oracles, vormals Suns Java Runtime Environment ist für Angriffe anfällig. Ein Angreifer kann beliebige Dateien ausführen. Betroffen sind sowohl Windows-Installationen mit dem Internet Explorer als auch Firefox.

Artikel veröffentlicht am ,

Tavis Ormandy hat auf der Full-Disclusure-Mailingliste Details zu einer offenen Sicherheitslücke im Java Deployment Toolkit veröffentlicht. Das Deployment Toolkit ist eine Komponente von Java für Entwickler, besonders einfach Anwendungen beim Endanwender zu starten und zu installieren. Über manipulierte Links lässt sich allerdings mehr einschleusen, als ursprünglich vorgesehen war. Da die URLs nicht ausreichend überprüft werden, ist es möglich, weitere Argumente etwa an Java Web Start zu übergeben. Java Web Start bietet dann genug Möglichkeiten, um Code auszuführen, der nicht im Sinne des Endanwenders ist.

Stellenmarkt
  1. AKDB Anstalt für kommunale Datenverarbeitung in Bayern, München, Regensburg
  2. Deutsche Bundesbank, Frankfurt am Main

Heise Security hat den Exploit bereits getestet, kam allerdings zu gemischten Ergebnissen. Unter Windows XP mit Java 6 Update 18 gelang es über den Internet Explorer, eine Anwendung zu starten. Tests mit Firefox funktionierten nicht, obwohl der Exploit auch mit diesem Browser funktionieren soll. Windows 7 und IE8 waren in diesem Test auch nicht anfällig. Das bedeutet allerdings nicht, dass der Exploit nicht irgendwann dennoch lauffähig auf anderen Plattformen wird.

Anfällig für den Exploit sollen alle Java-Versionen ab 1.6.0_10 sein, also auch das aktuelle Update 19. Da der Fehler sehr einfach zu finden sein soll, geht Ormandy davon aus, dass der Fehler schon lange bekannt ist und vermutlich schon ausgenutzt wird. Potenziell soll sogar Linux angreifbar sein.

Ormandy weist zudem darauf hin, dass ein Downgrade von Java auch möglich wäre. So twittert er, dass Angreifer das Opfer auf niedrigere Java-Versionen herunterstufen können. Dort ist, allerdings auskommentiert, eine Installation von Java 1.4.2_18 vorgesehen.

Wer Java nicht braucht, sollte es vorsichtshalber deinstallieren. In dem Full-Disclosure-Eintrag sind auch andere Lösungswege aufgelistet, die unter anderem das Setzen von Active-X-Killbits und das Verhindern eines Zugriffs auf npdeploytk.dll per ACL beschreiben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 1.149 (mit Rabattcode "POWERSUMMER20" - Bestpreis!)
  2. (aktuell u. a. LG 65SM82007LA NanoCell für 681,38€, Acer Chromebook 15 für 359,21€, DELL S...
  3. (u. a. Transport Fever 2 für 23,99€, Milanoir für 4,50€, Anno 1602 History Edition für 9...
  4. 50€-Gutschein für 44€

Boo 26. Apr 2010

Andauernd. Wie viele JARs brauchst Du denn? Wenn Du Schwierigkeiten hast den Überblick...

cyrob 12. Apr 2010

Zumindest keine, mit denen man Programme auf dem Client-PC ausführen kann. Sooooo sicher...

kann's besser 12. Apr 2010

Was hat der bug in JAVA mit windows zu tun? So buggy kann nur ein Pinguin denken. :D Ich...

Bahn 12. Apr 2010

Sehr geehrter Internet-Kollege! Leider verstehe ich Ihren Text nicht - bitte setzen Sie...

Kallischalli 11. Apr 2010

Java im Web wirst du auch nicht oft finden. Oder meinst du etwas JavaScript?


Folgen Sie uns
       


Baldurs Gate 3 - Spieleszenen

Endlich: Es geht weiter! In Baldur's Gate 3 sind Spieler erneut im Rollenspieluniversum von Dungeons & Dragons unterwegs, um gemeinsam mit Begleitern spannende Abenteuer in einer wunderschönen Fantasywelt zu erleben.

Baldurs Gate 3 - Spieleszenen Video aufrufen
KI-Startup: Regierung bestätigt Treffen mit Augustus Intelligence
KI-Startup
Regierung bestätigt Treffen mit Augustus Intelligence

Der CDU-Politiker Amthor fungierte als Lobbyist für das KI-Startup Augustus Intelligence. Warum sich die Regierung mit der Firma traf, ist weiter unklar.
Ein Bericht von Friedhelm Greis

  1. Texterkennung OpenAIs API beantwortet "Warum ist Brot so fluffig?"
  2. Cornonavirus Instagram macht Datensatz für Maskenerkennung ungültig
  3. KI Software erfindet Wörter und passende Definitionen dazu

Bluetooth-Hörstöpsel mit ANC im Test: Den Airpods Pro hat die Konkurrenz nichts entgegenzusetzen
Bluetooth-Hörstöpsel mit ANC im Test
Den Airpods Pro hat die Konkurrenz nichts entgegenzusetzen

Die Airpods Pro haben neue Maßstäbe bei Bluetooth-Hörstöpseln gesetzt. Sennheiser und Huawei ziehen mit True Wireless In-Ears mit ANC nach, ohne eine Antwort auf die besonderen Vorzüge des Apple-Produkts zu haben.
Ein Test von Ingo Pakalski

  1. Bluetooth-Hörstöpsel Google will Klangprobleme beseitigen, Microsoft nicht
  2. Bluetooth-Hörstöpsel Aldi bringt Airpods-Konkurrenz für 25 Euro
  3. Bluetooth-Hörstöpsel Oppos Airpods-Alternative kostet 80 Euro

Kumpan im Test: Aussehen von gestern, Technik von morgen
Kumpan im Test
Aussehen von gestern, Technik von morgen

Mit der Marke Kumpan Electric wollen drei Brüder aus Remagen den Markt für elektrische Roller erobern. Sie setzen auf den Look der deutschen Wirtschaftswunderjahre, wir haben ein Modell getestet.
Ein Praxistest von Dirk Kunde

  1. Venturi Wattman Rekordversuch mit elektrischem Motorrad mit Trockeneis
  2. Mobility Swapfiets testet Elektroroller im Abo
  3. Elektromobilität Volabo baut Niedrigspannungsmotor in Serie

    •  /