Abo
  • Services:
Anzeige
Java-Exploit mit Signatur
Java-Exploit mit Signatur (Bild: Eric Romang)

Eric Romang: Signierter Java-Exploit umgeht neue Sicherheitseinstellung

Java-Exploit mit Signatur
Java-Exploit mit Signatur (Bild: Eric Romang)

Eigentlich soll die neue Standard-Sicherheitseinstellung von Java für mehr Sicherheit sorgen, da nur noch signierte Java-Programme im Browser ohne Sicherheitswarnung ausgeführt werden. Doch nun ist ein erster signierter Java-Exploit aufgetaucht.

Auf einer Website der TU Chemnitz ist ein korrekt signierter Java-Exploit aufgetaucht. Die Signatur sorge dafür, dass das Programm auch in der neuen Standardeinstellung "Hoch" ohne Sicherheitswarnung ausgeführt wird, berichten der Sicherheitsexperte Eric Romang und Malware Domain List.

Anzeige

Laut Romang wurde über eine Sicherheitslücke in OpenX eine mit dem Exploit-Kit g01pack infizierte Java-Datei auf die Seiten des Projekts Beolingus eingeschleust. Sie wurde korrekt mit einem Zertifikat der US-Firma Clearesult Consulting Inc signiert.

Die seit Java 7 Update 11 geltende Standard-Sicherheitseinstellung gibt aber nur bei unsignierten Java-Programmen eine Warnung aus. Wäre ein selbsterstelltes oder nicht vertrauenswürdiges Zertifikat verwendet worden, würde Java eine Warnmeldung ausgeben, so Romang. So taucht der übliche Dialog beim Start einer Java-Applikation auf.

Im konkreten Fall sei das Zertifikat mit einem gestohlenen privaten Schlüssel erstellt worden, der auf Pastebin zu finden ist und von Godaddy bereits zurückgerufen wurde, so Jindrich Kubec, der als Director of Threat Intelligence beim Antivirenhersteller Avast arbeitet. Der Schlüssel sei von dessen Aussteller Godaddy zwar mit Wirkung zum 7. Dezember 2012 zurückgerufen worden, der Rückruf erfolgte laut Sophos am 25. Februar 2013. Die erste entsprechende Malware tauchte aber erst am 28. Februar 2013 auf.

Allerdings, so wundert sich Kubec, ist in seiner Java-Konfiguration die Prüfung auf zurückgerufene Zertifikate deaktiviert, während selbstsignierten Apps erweiterte Rechte eingeräumt werden.


eye home zur Startseite
Dr.Glitch 07. Mär 2013

Versteh mich nicht falsch, ich mag Java. Tolles Teil! Aber: ich halte ausnahmslos _jeden_...

ioxio 06. Mär 2013

Lol ? Java-expl0its sind für den Connaisseur die erste Wahl für Top-Level-Angriffe. Es...



Anzeige

Stellenmarkt
  1. Stadtwerke Heidelberg GmbH, Heidelberg
  2. State Street Global Exchange, Frankfurt
  3. über Hays AG, München
  4. ING-DiBa AG, Nürnberg


Anzeige
Spiele-Angebote
  1. 4,99€
  2. 69,99€
  3. 19,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Denverton

    Intel plant Atom C3000 mit bis zu 16 Goldmont-CPU-Kernen

  2. Trotz Weiterbildung

    Arbeitslos als Fachinformatiker

  3. Klage gegen Steuernachzahlung

    Apple beruft sich auf europäische Grundrechte

  4. 3D Studio

    Nvidia spendiert Qt Hunderttausende Zeilen Code

  5. Horizon Zero Dawn im Test

    Abenteuer im Land der Maschinenmonster

  6. Qualcomm

    Snapdragon 210 bekommt Android-Things-Unterstützung

  7. New Radio

    Qualcomm lässt neues 5G-Air-Interface testen

  8. Snapdragon X20

    Qualcomm kündigt 1,2-GBit/s-LTE-Modem an

  9. Gesetzentwurf

    Streit über Handy-Kontrolle von Asylbewerbern

  10. Kryptomessenger

    Signal ab sofort ohne Play-Services nutzbar



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kernfusion: Angewandte Science-Fiction
Kernfusion
Angewandte Science-Fiction
  1. Kernfusion Wendelstein 7-X funktioniert nach Plan

MX Board Silent im Praxistest: Der viel zu teure Feldversuch von Cherry
MX Board Silent im Praxistest
Der viel zu teure Feldversuch von Cherry
  1. MX Board Silent Mechanische Tastatur von Cherry bringt Ruhe ins Büro
  2. Smartphone TCL will neues Blackberry mit Tastatur bringen
  3. Tastaturhülle Canopy hält Magic Keyboard und iPad zum Arbeiten zusammen

Der große Ultra-HD-Blu-ray-Test (Teil 2): 4K-Hardware ist nichts für Anfänger
Der große Ultra-HD-Blu-ray-Test (Teil 2)
4K-Hardware ist nichts für Anfänger
  1. Der große Ultra-HD-Blu-ray-Test (Teil 1) 4K-Filme verzeihen keine Fehler
  2. Deutsche Verkaufszahlen Unberechtigter Jubel über die UHD-Blu-ray
  3. 4K Blu-ray Sonys erster UHD-Player kommt im Frühjahr 2017

  1. Re: Wen wundert das jetzt?

    urghss | 15:08

  2. Re: Wieder Exklusiv Mist

    Huetti | 15:08

  3. Re: Also doch nicht 10 Jahre Berufserfahrung ...

    Doomdrake | 15:08

  4. Re: Der Zug ist abgefahren

    Hu5eL | 15:08

  5. E-Tickets in Deutschland

    blariog | 15:07


  1. 15:00

  2. 14:45

  3. 14:13

  4. 14:12

  5. 14:00

  6. 13:30

  7. 13:30

  8. 13:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel