Logo von Security

Suche
218

Kritische Java-Lücke wird im großen Stil ausgenutzt

Kriminelle nutzen derzeit zunehmend eine kritische Lücke in der Java-Laufzeitumgebung aus, um Rechner beim Besuch speziell präparierter Webseiten mit Schadcode zu infizieren. Laut dem renommierten Security-Blogger Brian Krebs ist das darauf zurückzuführen, dass das Arsenal des weit verbreiteten Exploit-Kits BlackHole um einen passenden Exploit ausgebaut wurde.

Anzeige

Durch die Lücke, die Oracle Mitte Februar gepatcht hat, kann Schadcode aus der Java-Sandbox ausbrechen und sich dauerhaft auf dem System verankern. Welche Art von Schadcode dabei injiziert wird, ist variabel. Unter anderem soll die Lücke zur Verbreitung des ZeuS-Trojaners genutzt werden.

Laut einer Analyse von Microsoft ist der Dropper in zwei Java-Klassen aufgeteilt. Die erste Klasse nutzt die Schwachstelle bei der Verarbeitung von Arrays aus, um an höhere Rechte zu gelangen und führt anschließend die Loader-Klasse aus, sich um das Herunterladen und das Installieren der Payload kümmert.


Mit der aktuellen Java-Version ist man vor dem Exploit geschützt. Vergrößern
Schützen kann man sich, indem man eine der derzeit aktuellen Java-Versionen 6 Update 31 oder 7 Update 3 installiert. Ob und welche Version des Browser-Plugins installiert ist, erfährt man auf dieser Testseite.

Allzu sicher sollte man sich jedoch selbst mit der aktuellsten Java-Version nicht fühlen: Brian Krebs berichtet von Gerüchten in Untergrundforen über einen neuen Exploit, der eine ungepatchte kritische Java-Lücke ausnutzt.

Wer auf Nummer sicher gehen will, kann Java auch komplett deinstallieren oder zumindest das Browser-Plugin deaktivieren. Letzteres dürfte sich aufgrund der stetig abnehmenden Verbreitung von Java auf die meisten Webseiten nicht auswirken.

Update: Mac-Nutzer haben das besondere Problem, dass das letzte offiziell von Apple ausgegebene Java-Update aus dem vergangenen November stammt. Hier empfiehlt sich, Java über das Dienstprogramm "Java-Einstellungen" (Java Preferences) komplett zu deaktivieren (Haken abwählen), bis eine Aktualisierung verfügbar ist. (rei)

218 Kommentare

Themen:

  1. Adobe stopft kritische Flash-Lücke

    Zum zweiten Mal in diesem Monat behebt Adobe Sicherheitsprobleme mit dem Flash Player. Die aktuelle Sicherheitslücke erlaubt es Angreifern, Schadcode auf den Rechnern der Opfer auszuführen und wird momentan für Angriffe genutzt.

  2. Kritische Lücke im Flash-Player: Adobe beginnt Update-Auslieferung

    Kritische Lücke im Flash-Player: Adobe beginnt Update-Auslieferung

    Adobe hat sich Zeit damit gelassen, eine schwerwiegende Lücke im Flash-Player zu stopfen: Nun werden seit Samstag endlich über den Auto-Updater sichere Versionen verteilt.

  3. Klaffende Löcher in Oracles Java-Cloud freigelegt

    Adam Gowdiak, der polnische Spezialist für Java-Sicherheit, hat 30 Lücken in Oracles Java-Cloud-Plattform veröffentlicht, da die Firma für seinen Geschmack zu langsam reagiert hat. Beigelegter Beispielcode macht baldige Angriffe wahrscheinlich.

  1. Vulkanausbruch auf Java

    Ein Programmierfehler macht das ganze ausgefeilte Sicherheitskonzept von Java hinfällig. Denn der Exploit schaltet den Schutz einfach ab.

  2. Java fördert nun signierte Applets

    Java kommt seit einigen Monaten nicht aus der Schusslinie. Oracle reagiert auf die Sicherheitslöcher konsequent, aber vergleichsweise lautlos. Am 16. April 2013 ist Java 7 Update 21 mit der bisher weitreichendsten Änderung erschienen. Die Sicherheitseinstellungen erlauben das lautlose Ausführen unsignierter Applets nicht mehr.

  3. Write once, bugs everywhere

    Wie lange Oracle noch die Sicherheitsprobleme in seinen Produkten auf die leichte Schulter nehmen will, fragt sich iX-Redakteur Christian Kirsch.

  1. Träumen ist Pflicht

    BMWs Hommage an den 3.0 CSL für den Concorso d’Eleganza

    BMW zeigt beim elitären Concorso d’Eleganza am Comer See die spektakuläre Neuauflage seines 3.0 CSL aus den popfarbenen 70er Jahren. Es wird bei einem Einzelstück bleiben

  2. Innere Ordnung

    Ford Focus mit Facelift im Fahrbericht: Innere Ordnung

    Im Februar hat Ford die ersten Bilder des überarbeiteten Focus veröffentlicht, doch erst im Oktober werden die Kunden ihn bei den Händlern vor Ort begutachten können. Wir konnten ihn mit dem 182-PS-Benziner und dem 150-PS-Diesel schon fahren

  3. Der große Bruder reagiert genervt

    NSA

    Die US-Geheimdienste sind offenkundig sauer über das deutsche Ansinnen, in der Spähaffäre ihre Karten aufzudecken. Berlin gilt nach Medienberichten als unsicherer Kantonist.

  4. Blackberry entlässt Mitarbeiter der Smartphone-Sparte

    Blackberry

    Blackberry, einer der einstigen Smartphone-Pioniere, will sich gesundschrumpfen – und verkleinert die Belegschaft.

Anzeige