Lücke in aktueller Java-Version bringt Anwender in Gefahr

Oracle stuft laut Entdecker die Lücke als nicht kritisch ein

Oracles, vormals Suns Java Runtime Environment ist für Angriffe anfällig. Ein Angreifer kann beliebige Dateien ausführen. Betroffen sind sowohl Windows-Installationen mit dem Internet Explorer als auch Firefox.

Artikel veröffentlicht am ,

Tavis Ormandy hat auf der Full-Disclusure-Mailingliste Details zu einer offenen Sicherheitslücke im Java Deployment Toolkit veröffentlicht. Das Deployment Toolkit ist eine Komponente von Java für Entwickler, besonders einfach Anwendungen beim Endanwender zu starten und zu installieren. Über manipulierte Links lässt sich allerdings mehr einschleusen, als ursprünglich vorgesehen war. Da die URLs nicht ausreichend überprüft werden, ist es möglich, weitere Argumente etwa an Java Web Start zu übergeben. Java Web Start bietet dann genug Möglichkeiten, um Code auszuführen, der nicht im Sinne des Endanwenders ist.

Stellenmarkt
  1. IT-Administrator interne IT (w/m/d)
    cirosec GmbH, Heilbronn
  2. Sachbearbeiterin / Sachbearbeiter (w/m/d) im Referat Z 15 "Objekt- und Geheimschutz, Informationssicherheit"
    Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn
Detailsuche

Heise Security hat den Exploit bereits getestet, kam allerdings zu gemischten Ergebnissen. Unter Windows XP mit Java 6 Update 18 gelang es über den Internet Explorer, eine Anwendung zu starten. Tests mit Firefox funktionierten nicht, obwohl der Exploit auch mit diesem Browser funktionieren soll. Windows 7 und IE8 waren in diesem Test auch nicht anfällig. Das bedeutet allerdings nicht, dass der Exploit nicht irgendwann dennoch lauffähig auf anderen Plattformen wird.

Anfällig für den Exploit sollen alle Java-Versionen ab 1.6.0_10 sein, also auch das aktuelle Update 19. Da der Fehler sehr einfach zu finden sein soll, geht Ormandy davon aus, dass der Fehler schon lange bekannt ist und vermutlich schon ausgenutzt wird. Potenziell soll sogar Linux angreifbar sein.

Ormandy weist zudem darauf hin, dass ein Downgrade von Java auch möglich wäre. So twittert er, dass Angreifer das Opfer auf niedrigere Java-Versionen herunterstufen können. Dort ist, allerdings auskommentiert, eine Installation von Java 1.4.2_18 vorgesehen.

Golem Karrierewelt
  1. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    04.-07.07.2022, virtuell
  2. Blender Grundkurs: virtueller Drei-Tage-Workshop
    06.-08.09.2022, Virtuell
Weitere IT-Trainings

Wer Java nicht braucht, sollte es vorsichtshalber deinstallieren. In dem Full-Disclosure-Eintrag sind auch andere Lösungswege aufgelistet, die unter anderem das Setzen von Active-X-Killbits und das Verhindern eines Zugriffs auf npdeploytk.dll per ACL beschreiben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Boo 26. Apr 2010

Andauernd. Wie viele JARs brauchst Du denn? Wenn Du Schwierigkeiten hast den Überblick...

cyrob 12. Apr 2010

Zumindest keine, mit denen man Programme auf dem Client-PC ausführen kann. Sooooo sicher...

kann's besser 12. Apr 2010

Was hat der bug in JAVA mit windows zu tun? So buggy kann nur ein Pinguin denken. :D Ich...

Bahn 12. Apr 2010

Sehr geehrter Internet-Kollege! Leider verstehe ich Ihren Text nicht - bitte setzen Sie...



Aktuell auf der Startseite von Golem.de
Klima-Ticket
Bund plant Nachfolger für Neun-Euro-Ticket

Das Neun-Euro-Ticket könnte als Klimaticket weiterlaufen. Das geht aus einem Vorschlag für ein neues Klimaschutzsofortprogramm hervor.

Klima-Ticket: Bund plant Nachfolger für Neun-Euro-Ticket
Artikel
  1. Vitali Klitschko: Zweifel an Giffeys Deepfake-These
    Vitali Klitschko
    Zweifel an Giffeys Deepfake-These

    Die Berliner Staatskanzlei spricht von einem Deepfake beim Gespräch zwischen Bürgermeisterin Franziska Giffey und dem falschen Klitschko. Nun gibt es eine neue These.

  2. Studie VW ID.Aero vorgestellt: Elektrischer Passat soll 620 km weit kommen
    Studie VW ID.Aero vorgestellt
    Elektrischer Passat soll 620 km weit kommen

    Nach der elektrischen Kompaktklasse und SUVs legt VW nun mit einer Limousine nach. Die Studie ID.Aero erinnert sehr stark an ein Verbrennermodell.
    Ein Bericht von Friedhelm Greis

  3. Feuerwehr: E-Auto-Brand zerstört Haus - Photovoltaik erschwert Löschen
    Feuerwehr
    E-Auto-Brand zerstört Haus - Photovoltaik erschwert Löschen

    Feuerwehrleute in Hessen hatten Probleme, einen Elektroauto-Brand, der auf ein Wohngebäude übergriff, zu löschen. Auf dem Dach befand sich Photovoltaik.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MSI 32" WQHD 165 Hz günstig wie nie: 399€ • Saturn-Fundgrube: Restposten zu Top-Preisen • MindStar (AMD Ryzen 9 5900X 375€, Gigabyte RX 6900 XT 895€) • Samsung Galaxy Watch 4 Classic 46 mm 205€ [Werbung]
    •  /