Abo
  • Services:
Anzeige

Lücke in aktueller Java-Version bringt Anwender in Gefahr

Oracle stuft laut Entdecker die Lücke als nicht kritisch ein

Oracles, vormals Suns Java Runtime Environment ist für Angriffe anfällig. Ein Angreifer kann beliebige Dateien ausführen. Betroffen sind sowohl Windows-Installationen mit dem Internet Explorer als auch Firefox.

Tavis Ormandy hat auf der Full-Disclusure-Mailingliste Details zu einer offenen Sicherheitslücke im Java Deployment Toolkit veröffentlicht. Das Deployment Toolkit ist eine Komponente von Java für Entwickler, besonders einfach Anwendungen beim Endanwender zu starten und zu installieren. Über manipulierte Links lässt sich allerdings mehr einschleusen, als ursprünglich vorgesehen war. Da die URLs nicht ausreichend überprüft werden, ist es möglich, weitere Argumente etwa an Java Web Start zu übergeben. Java Web Start bietet dann genug Möglichkeiten, um Code auszuführen, der nicht im Sinne des Endanwenders ist.

Anzeige

Heise Security hat den Exploit bereits getestet, kam allerdings zu gemischten Ergebnissen. Unter Windows XP mit Java 6 Update 18 gelang es über den Internet Explorer, eine Anwendung zu starten. Tests mit Firefox funktionierten nicht, obwohl der Exploit auch mit diesem Browser funktionieren soll. Windows 7 und IE8 waren in diesem Test auch nicht anfällig. Das bedeutet allerdings nicht, dass der Exploit nicht irgendwann dennoch lauffähig auf anderen Plattformen wird.

Anfällig für den Exploit sollen alle Java-Versionen ab 1.6.0_10 sein, also auch das aktuelle Update 19. Da der Fehler sehr einfach zu finden sein soll, geht Ormandy davon aus, dass der Fehler schon lange bekannt ist und vermutlich schon ausgenutzt wird. Potenziell soll sogar Linux angreifbar sein.

Ormandy weist zudem darauf hin, dass ein Downgrade von Java auch möglich wäre. So twittert er, dass Angreifer das Opfer auf niedrigere Java-Versionen herunterstufen können. Dort ist, allerdings auskommentiert, eine Installation von Java 1.4.2_18 vorgesehen.

Wer Java nicht braucht, sollte es vorsichtshalber deinstallieren. In dem Full-Disclosure-Eintrag sind auch andere Lösungswege aufgelistet, die unter anderem das Setzen von Active-X-Killbits und das Verhindern eines Zugriffs auf npdeploytk.dll per ACL beschreiben.


eye home zur Startseite
Boo 26. Apr 2010

Andauernd. Wie viele JARs brauchst Du denn? Wenn Du Schwierigkeiten hast den Überblick...

cyrob 12. Apr 2010

Zumindest keine, mit denen man Programme auf dem Client-PC ausführen kann. Sooooo sicher...

kann's besser 12. Apr 2010

Was hat der bug in JAVA mit windows zu tun? So buggy kann nur ein Pinguin denken. :D Ich...

Bahn 12. Apr 2010

Sehr geehrter Internet-Kollege! Leider verstehe ich Ihren Text nicht - bitte setzen Sie...

Kallischalli 11. Apr 2010

Java im Web wirst du auch nicht oft finden. Oder meinst du etwas JavaScript?



Anzeige

Stellenmarkt
  1. Deutsche Bank AG, Frankfurt am Main
  2. AOK - Die Gesundheitskasse für Niedersachsen, Hannover
  3. Statistisches Bundesamt, Wiesbaden
  4. Schlafhorst Zweigniederlassung der Saurer GmbH & Co. KG, Übach-Palenberg


Anzeige
Spiele-Angebote
  1. 8,99€
  2. 13,99€
  3. 0,99€

Folgen Sie uns
       


  1. Amazon Channels

    Prime-Kunden erhalten Fußball-Bundesliga für 5 Euro im Monat

  2. Dex-Bytecode

    Google zeigt Vorschau auf neuen Android-Compiler

  3. Prozessor

    Intels Ice Lake wird in 10+ nm gefertigt

  4. Callya Flex

    Vodafone eifert dem Congstar-Prepaid-Tarif nach

  5. Datenbank

    MongoDB bereitet offenbar Börsengang vor

  6. Spielemesse

    Entwickler von Playerunknown's Battlegrounds hält Keynote

  7. Matias Ergo Pro Keyboard im Test

    Die Exzentrische unter den Tastaturen

  8. Deeplearn.js

    Google bringt Deep Learning in den Browser

  9. Satellitennavigation

    Sapcorda will auf Zentimeter genau orten

  10. Nach Beschwerden

    Google löscht Links zu Insolvenzdatenbanken



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Ryzen 3 1300X und 1200 im Test: Harte Gegner für Intels Core i3
Ryzen 3 1300X und 1200 im Test
Harte Gegner für Intels Core i3
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Fälschungen bei Amazon Billigen Celeron als Ryzen 7 verkauft

Anker Powercore+ 26800 PD im Test: Die Powerbank für (fast) alles
Anker Powercore+ 26800 PD im Test
Die Powerbank für (fast) alles
  1. Toshiba Teures Thunderbolt-3-Dock mit VGA-Anschluss
  2. Asus Das Zenbook Flip S ist 10,9 mm flach
  3. USB Typ C Alternate Mode Thunderbolt-3-Docks von Belkin und Elgato ab Juni

Computermuseum Stuttgart: Als Computer noch ganze Räume füllten
Computermuseum Stuttgart
Als Computer noch ganze Räume füllten
  1. Microsoft Neues Windows unterstützt vier CPUs und 6 TByte RAM
  2. 8x M.2 Seagates 64-Terabyte-SSD nutzt 16 PCIe-Gen3-Lanes
  3. Deep Learning IBM stellt Rekord für Bilderkennung auf

  1. Re: Das ist doch keine News...

    ms (Golem.de) | 15:15

  2. Re: Euch muss man erstmal verstehen

    Mett | 15:14

  3. Re: Geheimtipp für nicht-Prime-Kunden

    Sharra | 15:13

  4. Re: Naja, ohne Numblock...

    DummyAccount | 15:13

  5. Re: Keine menschliche Interaktion gewünscht

    AllDayPiano | 15:12


  1. 15:02

  2. 14:49

  3. 13:50

  4. 13:27

  5. 13:11

  6. 12:20

  7. 12:01

  8. 11:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel