Abo
  • Services:

Zero-Day-Exploit: Neues Sicherheitsloch in Java wird aktiv ausgenutzt

In der jüngst aktualisierten Java-Version befindet sich ein weiteres Sicherheitsloch, das bereits aktiv ausgenutzt wird. Nutzer sollten die automatisierte Ausführung von Java-Applets deaktivieren und Java nur dann zulassen, wenn der Urheber absolut vertrauenswürdig ist.

Artikel veröffentlicht am ,
Sicherheitslücke in Java wird aktiv ausgenutzt.
Sicherheitslücke in Java wird aktiv ausgenutzt. (Bild: Andreas Donath/Golem.de)

Angreifer nutzen derzeit aktiv ein Sicherheitsloch in Oracles Java Virtual Machine (JVM) aus, warnen die Sicherheitsexperten von Fire Eye. Über die Sicherheitslücke versuchen die Angreifer, den Security Manager von Java auszuhebeln, um beliebigen Code nachzuladen und schadhaften Programmcode auszuführen. Der Exploit-Code greift direkt auf den Speicher der Java Virtual Machine zu und umgeht auf diesem Wege den Security Manager.

Stellenmarkt
  1. Deutsche Energie-Agentur GmbH (dena), Berlin
  2. CompuGroup Medical SE, Nürnberg, Erlangen

Von dem Problem sind auch Nutzer betroffen, die Java 1.6 Update 41 oder Java 1.7 Update 15 installiert haben. Derzeit gibt es von Oracle kein Update, um die Sicherheitslücke in Java zu beseitigen. Nach Erkenntnissen von Fire Eye wurden bereits mehrere Kunden des Sicherheitsanbieters von dem Angriff heimgesucht.

Nach der Analyse der Sicherheitsexperten arbeitet der Exploit-Code bisher nicht ganz zuverlässig. Zwar gelingt immer das Nachladen des Schadcodes, allerdings hapert es bei der Ausführung des Codes. Dennoch sieht Fire Eyes eine große Gefahr davon ausgehen und entschied sich, die Öffentlichkeit zu informieren.

Derzeit ist nicht bekannt, ob die gleiche Java-Sicherheitslücke auch der Grund dafür war, dass Mozilla das Java-Plugin in Firefox blockiert. Java wird erst nach ausdrücklicher Zustimmung des Nutzers aktiviert. Auch andere Browser wie Chrome und Opera können so eingestellt werden, dass Plugins nicht automatisch, sondern erst nach expliziter Zustimmung ausgeführt werden. Ansonsten können Nutzer Java aus Sicherheitsgründen komplett deinstallieren, falls sie keine Webseiten besuchen, die Java benötigen.

Im Februar 2012 hatte Oracle zwei Sicherheitspatches für die Java Virtual Machine veröffentlicht.



Anzeige
Spiele-Angebote
  1. (-80%) 5,55€
  2. 49,86€
  3. 5,99€

Dr.Glitch 02. Mär 2013

@Th3Dan Ja, irgendwie erinnert's mich an "hassonybeenhackedthisweek.com". Schade, dass...

Plany 01. Mär 2013

das ist so ... ermüdend ... alle 2 tage "AAH KRITISCHE JAVA LÜCKE" zu lesen ...

couchpotato 01. Mär 2013

Kann ich nicht bestätigen. Die allermeisten Java Anwendungen laufen mit OpenJDK genauso...

Dr.Glitch 01. Mär 2013

Das sagt mir mein Gefühl auch. Das zu überprüfen wird aber ein Bisschen schwieriger...


Folgen Sie uns
       


Raytracing in Metro Exodus im Test

Wir schauen uns Raytracing in Metro Exodus genauer an.

Raytracing in Metro Exodus im Test Video aufrufen
Thyssen-Krupp Testturm Rottweil: Herr Fetzer parkt die Aufzugkabine um
Thyssen-Krupp Testturm Rottweil
Herr Fetzer parkt die Aufzugkabine um

Ohne Aufzüge gäbe es keine Hochhäuser. Aber inzwischen sind Wolkenkratzer zu hoch für herkömmliche Systeme. Thyssen-Krupp testet derzeit einen neuartigen Aufzug, der beliebig hoch fahren kann. Inspiriert ist er vom Paternoster und dem Transrapid. Wir waren im Testturm.
Ein Bericht von Werner Pluta

  1. Ceramic Speed Hätte, hätte - Fahrrad ohne Kette
  2. Geheimdienste und Bundeswehr Masterstudiengang für Staatshacker gestartet
  3. Sonitus Technologies Zahnmikrofon sorgt für klare Kommunikation

Fido-Sticks im Test: Endlich schlechte Passwörter
Fido-Sticks im Test
Endlich schlechte Passwörter

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel

  1. E-Mail-Marketing Datenbank mit 800 Millionen E-Mail-Adressen online
  2. Webauthn Standard für passwortloses Anmelden verabschiedet
  3. Studie Passwortmanager hinterlassen Passwörter im Arbeitsspeicher

Gesetzesinitiative des Bundesrates: Neuer Straftatbestand Handelsplattform-Betreiber im Darknet
Gesetzesinitiative des Bundesrates
Neuer Straftatbestand Handelsplattform-Betreiber im Darknet

Eine Gesetzesinitiative des Bundesrates soll den Betrieb von Handelsplattformen im Darknet unter Strafe stellen, wenn sie Illegales fördern. Das war auch bisher schon strafbar, das Gesetz könnte jedoch vor allem der Überwachung dienen, kritisieren Juristen.
Von Moritz Tremmel

  1. Security Onionshare 2 ermöglicht einfachen Dateiaustausch per Tor
  2. Tor-Netzwerk Britischer Kleinstprovider testet Tor-SIM-Karte
  3. Tor-Netzwerk Sicherheitslücke für Tor Browser 7 veröffentlicht

    •  /