Abo
  • Services:

Lücke in aktueller Java-Version bringt Anwender in Gefahr

Oracle stuft laut Entdecker die Lücke als nicht kritisch ein

Oracles, vormals Suns Java Runtime Environment ist für Angriffe anfällig. Ein Angreifer kann beliebige Dateien ausführen. Betroffen sind sowohl Windows-Installationen mit dem Internet Explorer als auch Firefox.

Artikel veröffentlicht am ,

Tavis Ormandy hat auf der Full-Disclusure-Mailingliste Details zu einer offenen Sicherheitslücke im Java Deployment Toolkit veröffentlicht. Das Deployment Toolkit ist eine Komponente von Java für Entwickler, besonders einfach Anwendungen beim Endanwender zu starten und zu installieren. Über manipulierte Links lässt sich allerdings mehr einschleusen, als ursprünglich vorgesehen war. Da die URLs nicht ausreichend überprüft werden, ist es möglich, weitere Argumente etwa an Java Web Start zu übergeben. Java Web Start bietet dann genug Möglichkeiten, um Code auszuführen, der nicht im Sinne des Endanwenders ist.

Stellenmarkt
  1. Fresenius Netcare GmbH, Bad Homburg
  2. Lidl Digital, Heilbronn

Heise Security hat den Exploit bereits getestet, kam allerdings zu gemischten Ergebnissen. Unter Windows XP mit Java 6 Update 18 gelang es über den Internet Explorer, eine Anwendung zu starten. Tests mit Firefox funktionierten nicht, obwohl der Exploit auch mit diesem Browser funktionieren soll. Windows 7 und IE8 waren in diesem Test auch nicht anfällig. Das bedeutet allerdings nicht, dass der Exploit nicht irgendwann dennoch lauffähig auf anderen Plattformen wird.

Anfällig für den Exploit sollen alle Java-Versionen ab 1.6.0_10 sein, also auch das aktuelle Update 19. Da der Fehler sehr einfach zu finden sein soll, geht Ormandy davon aus, dass der Fehler schon lange bekannt ist und vermutlich schon ausgenutzt wird. Potenziell soll sogar Linux angreifbar sein.

Ormandy weist zudem darauf hin, dass ein Downgrade von Java auch möglich wäre. So twittert er, dass Angreifer das Opfer auf niedrigere Java-Versionen herunterstufen können. Dort ist, allerdings auskommentiert, eine Installation von Java 1.4.2_18 vorgesehen.

Wer Java nicht braucht, sollte es vorsichtshalber deinstallieren. In dem Full-Disclosure-Eintrag sind auch andere Lösungswege aufgelistet, die unter anderem das Setzen von Active-X-Killbits und das Verhindern eines Zugriffs auf npdeploytk.dll per ACL beschreiben.



Anzeige
Top-Angebote
  1. (u. a. SanDisk Ultra II SSD 480 GB für 95€ und SanDisk Ultra microSDXC 64 GB für 16€)
  2. (u. a. LG OLED55C8LLA für 1.699€ und Logitech Harmony 350 für 22€)
  3. 63,89€ inkl. Versand (Vergleichspreis 127,89€)

Boo 26. Apr 2010

Andauernd. Wie viele JARs brauchst Du denn? Wenn Du Schwierigkeiten hast den Überblick...

cyrob 12. Apr 2010

Zumindest keine, mit denen man Programme auf dem Client-PC ausführen kann. Sooooo sicher...

kann's besser 12. Apr 2010

Was hat der bug in JAVA mit windows zu tun? So buggy kann nur ein Pinguin denken. :D Ich...

Bahn 12. Apr 2010

Sehr geehrter Internet-Kollege! Leider verstehe ich Ihren Text nicht - bitte setzen Sie...

Kallischalli 11. Apr 2010

Java im Web wirst du auch nicht oft finden. Oder meinst du etwas JavaScript?


Folgen Sie uns
       


Square Enix E3 2018 Pressekonferenz - Live

Lara Croft steht kurz vor ihrer Metamorphose, Dragon Quest 11 und Final Fantasy 14 erblühen in Europa und zwei ganz neue Spieleserien hat Square Enix auch noch vorgestellt. Wie fanden wir das?

Square Enix E3 2018 Pressekonferenz - Live Video aufrufen
Deutsche Siri auf dem Homepod im Test: Amazon und Google können sich entspannt zurücklehnen
Deutsche Siri auf dem Homepod im Test
Amazon und Google können sich entspannt zurücklehnen

In diesem Monat kommt der dritte digitale Assistent auf einem smarten Lautsprecher nach Deutschland: Siri. Wir haben uns angehört, was die deutsche Version auf dem Homepod leistet.
Ein Test von Ingo Pakalski

  1. Patentantrag von Apple Neues Verfahren könnte Siri schlauer machen
  2. Siri vs. Google Assistant Apple schnappt sich Googles KI-Chefentwickler
  3. Digitaler Assistent Apple will Siri verbessern

Sonnet eGFX Box 650 im Test: Wenn die Vega 64 am Thinkpad rechnet
Sonnet eGFX Box 650 im Test
Wenn die Vega 64 am Thinkpad rechnet

Die eGFX Box 650 von Sonnet ist ein eGPU-Gehäuse, das dank 650-Watt-Netzteil auch mit AMDs Radeon RX Vega 64 läuft. Die Box ist zwar recht leise, dennoch würden wir den Lüfter gerne steuern.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Razer Core X eGPU-Box kostet 300 Euro
  2. eGFX Breakaway Box 650 Sonnets Grafik-Gehäuse läuft mit Vega 64
  3. XG Station Pro Asus' zweite eGPU-Box ist schlicht

CD Projekt Red: So spielt sich Cyberpunk 2077
CD Projekt Red
So spielt sich Cyberpunk 2077

E3 2018 Hacker statt Hexer, Ich-Sicht statt Dritte-Person-Perspektive und Auto statt Pferd: Die Witcher-Entwickler haben ihr neues Großprojekt Cyberpunk 2077 im Detail vorgestellt.
Von Peter Steinlechner


      •  /