Kritische 0-Day-Lücke in Java 7 schlägt hohe Wellen

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34816
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Kritische 0-Day-Lücke in Java 7 schlägt hohe Wellen

Beitrag von doelf » 29 Aug 2012, 16:19

In allen Versionen von Java 7, also auch im aktuellen Update 6, steckt eine kritische Sicherheitslücke, die sich mit allen gängigen Internetbrowsern ausnutzen lässt. Funktionstüchtiger Exploit-Code wurde bereits veröffentlicht und erste Angriffe über manipulierte Werbebanner haben auch schon stattgefunden.

Die Lage ist sehr ernst, weshalb das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das US-Cert eindringliche Warnungen herausgegeben haben. Unsere Kollegen von heise online haben ihren auf Java basierenden Security Update-Check deaktivieren, da sie ihre Besucher nicht zur Installation der angreifbaren Laufzeitumgebung animieren möchten.

Die kritische Schwachstelle wurde am Montag von deependresearch.org gemeldet. Wenn Java 7 auf dem Computer installiert ist und das dazugehörige Plug-in vom Internetbrowser genutzt werden darf, reicht das Laden eine bösartigen Internetseite aus, um das System mit Schadprogrammen zu infizieren. Da die Kriminellen für ihre Angriffe manipulierte Werbebanner verwenden, stellen allerdings auch seriöse Internetangebote eine Gefahr dar. Gelingt ihnen es, solche Banner in große Werbenetzwerke einzuschleusen, werden Millionen von Internetseiten damit beliefert. Laut BSI wurde bei den bisherigen Angriffen versucht, die Banking-Trojaner "Citadel" und "Hermes" einzuschleusen. Da der Angriff über Java stattfindet, sind alle gängigen Internetbrowser - darunter Chrome, Firefox, Internet Explorer und Opera - betroffen.

Wer Java nicht unbedingt braucht, kann die Laufzeitumgebung komplett deinstallieren. Zumindest sollte man die Java-Plug-Ins aller Internetbrowser deaktivieren. Der Java-Entwickler Oracle hat bisher noch keine Sicherheitswarnung herausgegeben und auch kein Update veröffentlicht. Im Zeitplan der Firma sind die nächsten Updates erst für den 16. Oktober 2012 geplant.

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34816
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Java-0-Day: Oracle blamiert sich bis auf die Knochen

Beitrag von doelf » 30 Aug 2012, 16:07

Seit Montag wird über eine extrem kritische Sicherheitslücke in allen Versionen von Java 7 berichtet. Und da diese bereits großflächig ausgebeutet wird, schlagen Experten weltweit Alarm. Einzig der Java-Entwickler Oracle schweigt zu diesem Dilemma - und kennt das Problem schon seit vier Monaten!

Die Lage ist sehr ernst: Java 7 ist auf vielen Computern installiert und standardmäßig wird die Laufzeitumgebung dabei auch per Plug-in für alle unterstützten Internetbrowser (Chrome, Firefox, Internet Explorer, Opera und weitere) aktiviert. Lädt man mit aktiviertem Plug-in nun eine bösartige Webseite, kann diese beliebigen Code ausführen und Schadprogramme installieren. Allerdings sind auch seriöse Internetangebote betroffen, da es Kriminellen gelang, entsprechend manipulierte Werbebanner in Werbenetzwerke einzuschleusen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das US-Cert haben daher bereits eindringliche Warnungen ausgesprochen.

Angesichts dieser Bedrohung ist es beschämend, dass es Oracle bisher nicht einmal geschafft hat, eine eigene Sicherheitswarnung zu veröffentlichen. Stattdessen wird die fehlerhafte Software auch weiterhin zum Download angeboten. Was dem Fass dann den Boden ausschlägt, ist der Umstand, dass Oracle schon vor vier Monaten über die kritische Schwachstelle informiert wurde und diese intern auch geschlossen hat. Die Veröffentlichung des entsprechenden Updates ist jedoch erst für den 16. Oktober 2012 geplant. Dies geht aus einer Meldung des Sicherheitsexperten Adam Gowdiak hervor. Insgesamt hatte Gowdiak 25 Schwachstellen gemeldet, von denen Oracle bisher nur 19 - und diese auch nur intern - beseitigt hat (Stand: 23. August 2012).

Wer die Laufzeitumgebung nicht unbedingt braucht, sollte sie daher komplett deinstallieren - der aktuelle Fehler ist nicht die erste schwerwiegende Sicherheitslücke in Java und wird gewiss auch nicht die letzte sein. Wer sich nicht sicher ist, ob sein Internetbrowser Java nutzt, kann dies auf folgender Webseite überprüfen. Erscheint die Meldung "Auf Ihrem System wurde keine funktionsfähige Java-Version ermittelt", ist man auf der sicheren Seite.

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34816
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Kritische 0-Day-Lücke in Java 7 schlägt hohe Wellen

Beitrag von doelf » 31 Aug 2012, 07:25

Ein Update ist verfügbar:
viewtopic.php?f=19&t=41244

Antworten