Abo
  • Services:

Eric Romang: Signierter Java-Exploit umgeht neue Sicherheitseinstellung

Eigentlich soll die neue Standard-Sicherheitseinstellung von Java für mehr Sicherheit sorgen, da nur noch signierte Java-Programme im Browser ohne Sicherheitswarnung ausgeführt werden. Doch nun ist ein erster signierter Java-Exploit aufgetaucht.

Artikel veröffentlicht am ,
Java-Exploit mit Signatur
Java-Exploit mit Signatur (Bild: Eric Romang)

Auf einer Website der TU Chemnitz ist ein korrekt signierter Java-Exploit aufgetaucht. Die Signatur sorge dafür, dass das Programm auch in der neuen Standardeinstellung "Hoch" ohne Sicherheitswarnung ausgeführt wird, berichten der Sicherheitsexperte Eric Romang und Malware Domain List.

Stellenmarkt
  1. TGW Software Services GmbH, Teunz, Regensburg, Stephans­kirchen bei Rosenheim, Langen bei Frankfurt
  2. Robert Half, Hamburg

Laut Romang wurde über eine Sicherheitslücke in OpenX eine mit dem Exploit-Kit g01pack infizierte Java-Datei auf die Seiten des Projekts Beolingus eingeschleust. Sie wurde korrekt mit einem Zertifikat der US-Firma Clearesult Consulting Inc signiert.

Die seit Java 7 Update 11 geltende Standard-Sicherheitseinstellung gibt aber nur bei unsignierten Java-Programmen eine Warnung aus. Wäre ein selbsterstelltes oder nicht vertrauenswürdiges Zertifikat verwendet worden, würde Java eine Warnmeldung ausgeben, so Romang. So taucht der übliche Dialog beim Start einer Java-Applikation auf.

Im konkreten Fall sei das Zertifikat mit einem gestohlenen privaten Schlüssel erstellt worden, der auf Pastebin zu finden ist und von Godaddy bereits zurückgerufen wurde, so Jindrich Kubec, der als Director of Threat Intelligence beim Antivirenhersteller Avast arbeitet. Der Schlüssel sei von dessen Aussteller Godaddy zwar mit Wirkung zum 7. Dezember 2012 zurückgerufen worden, der Rückruf erfolgte laut Sophos am 25. Februar 2013. Die erste entsprechende Malware tauchte aber erst am 28. Februar 2013 auf.

Allerdings, so wundert sich Kubec, ist in seiner Java-Konfiguration die Prüfung auf zurückgerufene Zertifikate deaktiviert, während selbstsignierten Apps erweiterte Rechte eingeräumt werden.



Anzeige
Hardware-Angebote
  1. 1.299,00€

Dr.Glitch 07. Mär 2013

Versteh mich nicht falsch, ich mag Java. Tolles Teil! Aber: ich halte ausnahmslos _jeden_...

ioxio 06. Mär 2013

Lol ? Java-expl0its sind für den Connaisseur die erste Wahl für Top-Level-Angriffe. Es...


Folgen Sie uns
       


Lenovo Mirage Solo und Camera - Test

Wir haben laut Lenovo "die nächste Generation VR" getestet. Tipp: Sie ist nicht so viel besser als die letzte.

Lenovo Mirage Solo und Camera - Test Video aufrufen
Resident Evil 2 angespielt: Neuer Horror mit altbekannten Helden
Resident Evil 2 angespielt
Neuer Horror mit altbekannten Helden

Eigentlich ein Remake - tatsächlich aber fühlt sich Resident Evil 2 an wie ein neues Spiel: Golem.de hat mit Leon und Claire gegen Zombies und andere Schrecken von Raccoon City gekämpft.
Von Peter Steinlechner

  1. Resident Evil Monster und Mafia werden neu aufgelegt

Google Nachtsicht im Test: Starke Nachtaufnahmen mit dem Pixel
Google Nachtsicht im Test
Starke Nachtaufnahmen mit dem Pixel

Gut einen Monat nach der Vorstellung der neuen Pixel-Smartphones hat Google die Kamerafunktion Nachtsicht vorgestellt. Mit dieser lassen sich tolle Nachtaufnahmen machen, die mit denen von Huaweis Nachtmodus vergleichbar sind - und dessen Qualität bei Selbstporträts deutlich übersteigt.
Ein Test von Tobias Költzsch

  1. Pixel 3 Google patcht Probleme mit Speichermanagement
  2. Smartphone Google soll Pixel 3 Lite mit Kopfhörerbuchse planen
  3. Google Dem Pixel 3 XL wächst eine zweite Notch

IMHO: Valves Ka-Ching mit der Brechstange
IMHO
Valves "Ka-Ching" mit der Brechstange

Es klingelt seit Jahren in den Kassen des Unternehmens von Gabe Newell. Dabei ist die Firma tief verschuldet - und zwar in den Herzen der Gamer.
Ein IMHO von Michael Wieczorek

  1. Artifact im Test Zusammengewürfelt und potenziell teuer
  2. Artifact Erste Kritik an Kosten von Valves Sammelkartenspiel
  3. Virtual Reality Valve arbeitet an VR-Headset und Half-Life-Titel

    •  /