Java-Sicherheitslücke bedroht alle Browser und Betriebssysteme

Java-Sicherheitslücke bedroht alle Browser und Betriebssysteme

Schlechter Kaffee

Oliver Frommel
30.08.2012 Angreifer können eine Sicherheitslücke in Java 7 Update 6 ausnutzen, um über verschiedene Browser eigenen Code auszuführen.

Atif Mushtaq von der Security-Firma Fireeye hat auf eine Sicherheitslücke in Java aufmerksam gemacht, für die im Internet bereits funktionierende Exploits kursieren. Betroffen sind möglicherweise verschiedene Versionen des Java Runtime Environment 1.7. Getestet hat Mushtaq den Exploit mit JRE 1.7 Update 6. Übers Internet lässt sich die Schwachstelle ausnutzen, wenn Webbrowser über das Java-Plugin das JRE verwenden.

Der Security-Scanner Metasploit hat bereits passenden Exploit-Code integriert. Im Test zeigten sich die folgenden System als verwundbar: Mozilla Firefox auf Ubuntu Linux 10.04, Internet Explorer / Mozilla Firefox / Chrome auf Windows XP, Internet Explorer / Mozilla Firefox mit Windows Vista, Internet Explorer / Mozilla Firefox unter Windows 7 und Safari mit Mac OS X 10.7.4. Dass weitere Systeme davon betroffen sind, gilt als sicher.

Der im Internet gefundene Exploit, der auf einem Rechner in Taiwan gehostet ist, installiert einen Trojaner auf dem angegriffenen Rechner, der wiederum einen Server in Singapur kontaktiert und somit vermutlich Teil eines Botnetzes wird. Beispielcode, der unter Windows das Binary "calc.exe" ausführt ist auf der Website Pastie zu finden.

Einen Bugfix für die Schwachstelle gibt es bisher nicht, also sollte man Java im Browser am besten komplett abschalten. In der Common Vulnerabilities und Exposures Database firmiert die Sicherheitslücke unter dem Code CVE-2012-4681.

(Diese Meldung stammt vom Magazin Admin)

Update: In Bugzilla ist der Bug hier zu finden, detaillierte Informationen zum Problem finden sich auch in diesem Thread auf der Open-JDK-Mailingliste.

Ähnliche Artikel

Kommentare

Aktuelle Fragen

Würde gerne openstreetmap.de im Tor-Browser benutzen, oder zu gefährlich?
Wimpy *, 21.08.2017 13:24, 0 Antworten
Im Tor-Netzwerk (Tor-Browser) kann ich https://www.openstreetmap.de/karte.html# nicht nutzen....
Samsung VG-KBD1500 - Bluetooth-Tastatur mit Touchpad mit Xubuntu 16.04.2 LTS
Linux- & BSD-UserGroup im Weserbergland, 16.08.2017 19:16, 0 Antworten
Bin grad mit "meinem Latein am Ende" darum hier mal so in den Raum geworfen. Samsung VG-KBD1500 -...
Tails verbindet nicht mit WLan
Georg Vogel, 30.07.2017 15:06, 5 Antworten
Hallo zusammen! Habe mir von Linux Mint aus einen Tails USB-Stick erstellt. Läuft soweit gut,...
Genivi for Raspberry Pi 3
Sebastian Ortmanns, 28.07.2017 10:37, 1 Antworten
I try to build a Genivi Development Platform for Rasberry Pi 3. But I always get the failures bel...
Bash awk Verständnis-Frage
Josef Federl, 22.07.2017 17:46, 2 Antworten
#!/bin/bash # Skriptdateiname = test.sh spaltennummer=10 wert=zehner awk '{ $'$spaltennummer'...