• IT-Karriere:
  • Services:

Zero-Day-Exploit: Neues Sicherheitsloch in Java wird aktiv ausgenutzt

In der jüngst aktualisierten Java-Version befindet sich ein weiteres Sicherheitsloch, das bereits aktiv ausgenutzt wird. Nutzer sollten die automatisierte Ausführung von Java-Applets deaktivieren und Java nur dann zulassen, wenn der Urheber absolut vertrauenswürdig ist.

Artikel veröffentlicht am ,
Sicherheitslücke in Java wird aktiv ausgenutzt.
Sicherheitslücke in Java wird aktiv ausgenutzt. (Bild: Andreas Donath/Golem.de)

Angreifer nutzen derzeit aktiv ein Sicherheitsloch in Oracles Java Virtual Machine (JVM) aus, warnen die Sicherheitsexperten von Fire Eye. Über die Sicherheitslücke versuchen die Angreifer, den Security Manager von Java auszuhebeln, um beliebigen Code nachzuladen und schadhaften Programmcode auszuführen. Der Exploit-Code greift direkt auf den Speicher der Java Virtual Machine zu und umgeht auf diesem Wege den Security Manager.

Stellenmarkt
  1. J. Bauer GmbH & Co. KG, München
  2. NEW Niederrhein Energie und Wasser GmbH, Erkelenz

Von dem Problem sind auch Nutzer betroffen, die Java 1.6 Update 41 oder Java 1.7 Update 15 installiert haben. Derzeit gibt es von Oracle kein Update, um die Sicherheitslücke in Java zu beseitigen. Nach Erkenntnissen von Fire Eye wurden bereits mehrere Kunden des Sicherheitsanbieters von dem Angriff heimgesucht.

Nach der Analyse der Sicherheitsexperten arbeitet der Exploit-Code bisher nicht ganz zuverlässig. Zwar gelingt immer das Nachladen des Schadcodes, allerdings hapert es bei der Ausführung des Codes. Dennoch sieht Fire Eyes eine große Gefahr davon ausgehen und entschied sich, die Öffentlichkeit zu informieren.

Derzeit ist nicht bekannt, ob die gleiche Java-Sicherheitslücke auch der Grund dafür war, dass Mozilla das Java-Plugin in Firefox blockiert. Java wird erst nach ausdrücklicher Zustimmung des Nutzers aktiviert. Auch andere Browser wie Chrome und Opera können so eingestellt werden, dass Plugins nicht automatisch, sondern erst nach expliziter Zustimmung ausgeführt werden. Ansonsten können Nutzer Java aus Sicherheitsgründen komplett deinstallieren, falls sie keine Webseiten besuchen, die Java benötigen.

Im Februar 2012 hatte Oracle zwei Sicherheitspatches für die Java Virtual Machine veröffentlicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. ab 57,80€ neuer Bestpreis auf Geizhals

Dr.Glitch 02. Mär 2013

@Th3Dan Ja, irgendwie erinnert's mich an "hassonybeenhackedthisweek.com". Schade, dass...

Plany 01. Mär 2013

das ist so ... ermüdend ... alle 2 tage "AAH KRITISCHE JAVA LÜCKE" zu lesen ...

couchpotato 01. Mär 2013

Kann ich nicht bestätigen. Die allermeisten Java Anwendungen laufen mit OpenJDK genauso...

Dr.Glitch 01. Mär 2013

Das sagt mir mein Gefühl auch. Das zu überprüfen wird aber ein Bisschen schwieriger...


Folgen Sie uns
       


Microsoft Flight Simulator 2020 angespielt

Golem.de hat den Microsoft Flight Simulator 2020 in einer Vorabfassung angespielt und erste Eindrücke aus den detaillierten Cockpits gesammelt.

Microsoft Flight Simulator 2020 angespielt Video aufrufen
Vivo X51 im Test: Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera
Vivo X51 im Test
Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera

Das Vivo X51 hat eine gute Kamera mit starker Bildstabilisierung und eine vorbildlich zurückhaltende Android-Oberfläche. Der Startpreis in Deutschland könnte aber eine Herausforderung für den Hersteller sein.
Ein Test von Tobias Költzsch

  1. Software-Entwicklung Google veröffentlicht Android Studio 4.1
  2. Jetpack Compose Android bekommt neues UI-Framework
  3. Google Android bekommt lokale Sharing-Funktion

CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
CalyxOS im Test
Ein komfortables Android mit einer Extraportion Privacy

Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
Ein Test von Moritz Tremmel

  1. Alternatives Android im Test /e/ will Google ersetzen

The Secret of Monkey Island: Ich bin ein übelriechender, groggurgelnder Pirat!
The Secret of Monkey Island
"Ich bin ein übelriechender, groggurgelnder Pirat!"

Das wunderbare The Secret of Monkey Island feiert seinen 30. Geburtstag. Golem.de hat einen neuen Durchgang gewagt - und wüst geschimpft.
Von Benedikt Plass-Fleßenkämper


      •  /