Original-URL des Artikels: https://www.golem.de/news/eric-romang-signierter-java-exploit-umgeht-neue-sicherheitseinstellung-1303-98025.html    Veröffentlicht: 06.03.2013 15:03    Kurz-URL: https://glm.io/98025

Eric Romang

Signierter Java-Exploit umgeht neue Sicherheitseinstellung

Eigentlich soll die neue Standard-Sicherheitseinstellung von Java für mehr Sicherheit sorgen, da nur noch signierte Java-Programme im Browser ohne Sicherheitswarnung ausgeführt werden. Doch nun ist ein erster signierter Java-Exploit aufgetaucht.

Auf einer Website der TU Chemnitz ist ein korrekt signierter Java-Exploit aufgetaucht. Die Signatur sorge dafür, dass das Programm auch in der neuen Standardeinstellung "Hoch" ohne Sicherheitswarnung ausgeführt wird, berichten der Sicherheitsexperte Eric Romang und Malware Domain List.

Laut Romang wurde über eine Sicherheitslücke in OpenX eine mit dem Exploit-Kit g01pack infizierte Java-Datei auf die Seiten des Projekts Beolingus eingeschleust. Sie wurde korrekt mit einem Zertifikat der US-Firma Clearesult Consulting Inc signiert.

Die seit Java 7 Update 11 geltende Standard-Sicherheitseinstellung gibt aber nur bei unsignierten Java-Programmen eine Warnung aus. Wäre ein selbsterstelltes oder nicht vertrauenswürdiges Zertifikat verwendet worden, würde Java eine Warnmeldung ausgeben, so Romang. So taucht der übliche Dialog beim Start einer Java-Applikation auf.

Im konkreten Fall sei das Zertifikat mit einem gestohlenen privaten Schlüssel erstellt worden, der auf Pastebin zu finden ist und von Godaddy bereits zurückgerufen wurde, so Jindrich Kubec, der als Director of Threat Intelligence beim Antivirenhersteller Avast arbeitet. Der Schlüssel sei von dessen Aussteller Godaddy zwar mit Wirkung zum 7. Dezember 2012 zurückgerufen worden, der Rückruf erfolgte laut Sophos am 25. Februar 2013. Die erste entsprechende Malware tauchte aber erst am 28. Februar 2013 auf.

Allerdings, so wundert sich Kubec, ist in seiner Java-Konfiguration die Prüfung auf zurückgerufene Zertifikate deaktiviert, während selbstsignierten Apps erweiterte Rechte eingeräumt werden.  (ji)


Verwandte Artikel:
Oracle: Critical-Patch-Update schließt 270 Sicherheitslücken   
(19.01.2017, https://glm.io/125689 )
Oracle: Java entzieht MD5 und SHA-1 das Vertrauen   
(23.01.2017, https://glm.io/125750 )
BeA: So geht es mit dem Anwaltspostfach weiter   
(29.01.2018, https://glm.io/132430 )
Bundesrechtsanwaltskammer: Anwälte sollen BeA sofort deinstallieren   
(26.01.2018, https://glm.io/132421 )
Gerichtspostfach: EGVP-Client kann weiter genutzt werden   
(21.01.2018, https://glm.io/132277 )

© 1997–2020 Golem.de, https://www.golem.de/