> > > > Schwerwiegende Sicherheitslücke in der aktuellen Java-Version (Update 3)

Schwerwiegende Sicherheitslücke in der aktuellen Java-Version (Update 3)

DruckenE-Mail
Erstellt am: von

javaSeit einigen Tagen ist eine schwerwiegende Sicherheitslücke in der aktuellen Java-Version bekannt. Das BSI empfiehlt sogar die Deinstallation des Plugins. Bei der betroffenen Version handelt es sich um die Java-Version 7 Update 10. Die betroffene Sicherheitslücke wird offenbar bereits von Angreifern genutzt. Sie macht es möglich Code in ein vollständig gepatchtes Windows-System mit Java 7 Update 10 einzuschleusen. Der inzwischen vollständig aufgedeckt und analysierte Exploit wird derzeit hauptsächlich dazu benutzt, um über das Java-Plugin Malware in das System einzuschleusen. Auch wenn wir derzeit erst Tag drei nach dem Bekanntwerden des Exploits zählen und sich damit die Anzahl der Seiten, welche den Exploit ausnutzen, noch in Grenzen hält, so ist damit zu rechnen, dass die Verbreitung bald rasant ansteigen wird. Grund dafür ist unter anderem ein fertig angepasstes Angriffsmodul für die Exploit-Kits Black Hole und Nuclear Pack.

Ihr als Nutzer sollten bis zum Update des Java-Plugins eben dieses deaktivieren. Dies könnt ihr meist über die Einstellungen eures Browsers (Firefox und Chrome) tun. Wer den Internet Explorer verwendet, der sollte Java komplett vom System entfernen und es über die Systemsteuerung/Software deinstallieren. Apple hat inzwischen ebenso wie Mozilla reagiert und deaktiviert das Java-Plugin aus der Ferne über einen Blacklisteintrag.

Update 1:

Oracle hat inzwischen die Java-Version 7 Update 11 veröffentlicht, welche die Sicherheitslücke schließt. Zudem wird das Sicherheitslevel für unsignierte Applikationen von mittel auf hoch gesetzt. Somit werden Web-Applikationen nur noch nach Bestätigung des Nutzers ausgeführt. Das Update ist direkt bei Java verfügbar.

Update 2:

Offenbar hat Oracle mit der Java-Version 7 Update 11 nur eine von zwei Lücken geschlossen. Wie KrebsOnSecurity nun berichtet, ist ein neuer Exploit aufgetaucht, der bereits exklusiv zu jeweils 5.000 US-Dollar verkauft wurde. Somit ist auch die Java-Version 7 Update 11 nicht gegen Angriffe dieser Art geschützt.

Update 3:

Ursprünglich hatte Oracle für den 19. Februar das nächste Update von Java vorgesehen, doch aufgrund der zahlreichen Exploits hat man dieses Update vorgezogen. Von den insgesamt 50 geschlossenen Sicherheitslücken stuft man selbst 26 als besonders schwerwiegend ein. Die Java-Version 7 wird auf Update 13 gebracht, Java 6 auf Update 39. Beide stehen für Windows, OS X und Linux direkt bei Oracle zum Download bereit. Die Installation wird bei Verwendung von Java als Browser-Plugin dringend empfohlen.

Social Links

Kommentare (20)

#11
customavatars/avatar132552_1.gif
Registriert seit: 03.04.2010

Oberleutnant zur See
Beiträge: 1320
Ich hatte es lange Zeit installiert, aber schon seit der letzten Lücke habe ich es einfach deinstalliert gelassen. Bis jetzt haben alle Webseiten gut funktioniert.
Problematischer ist da schon Flash.
#12
customavatars/avatar63700_1.gif
Registriert seit: 10.05.2007


Beiträge: 12477
Java ist schon ok, nur nicht im Browser.
#13
Registriert seit: 19.01.2007

Vizeadmiral
Beiträge: 6731
Zitat Drinkey;20031227
Was ist wenn man noch Java 6.38 hat ?
ist in diesem konkreten fall nicht betroffen aber java 6 wird nicht mehr weiter gepflegt, heisst...taucht was auf was bei version 6 ein problem darstellt wird das von oracle nciht mehr gefixt.
#14
Registriert seit: 08.12.2007

Oberleutnant zur See
Beiträge: 1519
Seit einigen Tagen erst? Ich habe mir das mal im aktuellen Mozilla Firefox angesehen. Dort hat Mozilla das Java-Addon seit dem 30.Oktober 2012 (!) gesperrt.
#15
Registriert seit: 22.12.2008

Stabsgefreiter
Beiträge: 344
Zitat sabrehawk2;20031200
Kalter Kaffee

Version 7 Update 11

Download der kostenlosen Java-Software

security update.

Laut CB würde der Fehler in diesem kommenden Update gar nicht behoben. Der Kaffee bleibt also heiß...
Ab Version 7 Update 10 gibt es in der Java-Konsole (Systemsteuerung -> Programme -> java) eine Funktion zum Abschalten von JAVA im Browser im Reiter "Sicherheit", dies sollte auch beim IE helfen.

Laut T-Online von heute wäre der Patch aber gegen diese Sicherheitslücke.
Auf der JAVA-Homepage finde ich aber dazu auf die schnelle keine Hinweise.
#16
Registriert seit: 19.01.2007

Vizeadmiral
Beiträge: 6731
Zitat rv73566;20032025
Laut CB würde der Fehler in diesem kommenden Update gar nicht behoben. Der Kaffee bleibt also heiß...
"Oracle hat die schwere Lücke in Java 7 durch Update 11 außerhalb des morgigen Oracle-Patchday geschlossen."

Mit Update 11 ist die Lücke geschlossen, ob der Fix robust ist bleibt abzuwarten aber das ist der derzeitige stand.[COLOR="red"]

---------- Post added at 12:17 ---------- Previous post was at 12:12 ----------

[/COLOR]
Zitat newAtioc;20031956
Seit einigen Tagen erst? Ich habe mir das mal im aktuellen Mozilla Firefox angesehen. Dort hat Mozilla das Java-Addon seit dem 30.Oktober 2012 (!) gesperrt.
Einige versionen sind schon länger gesperrt, alle versionen sind laut mozilla erst seit kurzem gesperrt woden Protecting Users Against Java Vulnerability | Mozilla Add-ons Blog
#17
Registriert seit: 04.11.2010
Karlsruhe
Obergefreiter
Beiträge: 74
Schaut bei Oracle:

http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html

Grüße
#18
Registriert seit: 30.01.2012

Gefreiter
Beiträge: 36
Java war und wird in Zukunft, so wie es ausschaut, immer ein Problemkind auf dem Rechner sein. Leider ist es so, dass man Java für einige Anwendungen und Webseiten benötigt. Ich selbst habe zur Zeit kein Programm das auf Java angewiesen ist aber leider wird es für wenige Webseiten benötigt. Trotzdem habe ich Java komplett vom Rechner (auch von allen Browsern) entfernt, obwohl NoScript als Erweiterung in meinem Browser installiert ist. Wenn ich Java nach längerer Zeit mal wieder benötige wird es temporär installiert und nach getaner Arbeit wieder entfernt. Wer nicht unbedingt auf Java angewiesen ist, sollte es meiner Meinung nach einfach deinstallieren.
#19
customavatars/avatar94146_1.gif
Registriert seit: 01.07.2008
Schnega
Bootsmann
Beiträge: 655
Mhh auf meinem MacBook hab ich noch kein Update über die "Softwareaktualisierung" bekommen.
Mit javac -version sag er mir javac 1.6.0_37 also schon relative alt.
Weiß einer evtl. voran das liegen könnten? ^^
#20
customavatars/avatar3377_1.gif
Registriert seit: 15.11.2002
www.twitter.com/aschilling
[printed]-Redakteur
Tweety
Beiträge: 28870
Apple liefert die Updates nicht mehr selbst aus, da musst du dich drum kümmern.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Unitymedia möchte Endkundenanschlüsse in öffentliche Wi-Fi-Hotspots umwandeln

Logo von UNITYMEDIA-LOGO

Der in Nordrhein-Westfahlen, Hessen und Baden-Württemberg aktive Kabelnetzprovider Unitymedia plant 1,5 Millionen Endkundenanschlüsse mit seinem WLAN-Router gleichzeitig in öffentliche Wi-Fi-Hotspots zu verwandeln. Wer als Kunde dabei mitmacht, bekommt unabhängig vom Standort, Tarif oder... [mehr]

OneDrive: Microsoft gewährt keinen unbegrenzten Speicherplatz mehr (Update)

Logo von IMAGES/STORIES/LOGOS-2015/MICROSOFT2012

Nach zwei Jahren gibt Microsoft auf: Wie das Unternehmen in der Nacht mitteilte, wird man aufgrund einiger weniger Nutzer das Angebot in One Drive umstellen. Eine unbegrenzte Kapazität gibt es mit einer Ausnahme ab sofort nicht mehr und auch das kostenlose Angebot wird in Kürze in der aktuellen... [mehr]

ProSiebenSat.1 schaltet MyVideo ab (Update: MyVideo wird nur umstrukturiert)

Logo von IMAGES/STORIES/LOGOS-2013/PRO7SAT1MEDIA

Das Videoportal MyVideo wurde einst von der ProSiebenSat.1-Gruppe als Konkurrenz zu YouTube aufgebaut. Das Portal konnte sich gegen die amerikanische Konkurrenz jedoch nie wirklich durchsetzen – die Verantwortlichen ziehen nun den Stecker. Laut einer Meldung werde das Projekt vorübergehend... [mehr]

DOCSIS 3.1: Vodafone plant auch 10-GBit/s-Anschlüsse zu drosseln

Logo von IMAGES/STORIES/LOGOS-2013/VODAFONE

Wir hatten bereits vor einiger Zeit berichtet, dass die ersten Hersteller die passende Hardware für den DOSCIS-3.1-Standard vorgestellt haben und einer baldigen Umrüstung auf die neue Technik nicht mehr viel im Weg stünde. Einer der größten Kunden in Deutschland für die neue Hardware wird... [mehr]

10 GBit/s Down- und Upstream für Privatnutzer in den USA

Logo von IMAGES/STORIES/LOGOS-2015/FIBRANT

Während wir uns hierzulande in den meisten Gebieten Deutschlands mit maximal ein paar hundert MBit pro Sekunde begnügen müssen, sind andere Länder schon weiter. Das größte Defizit ist sicherlich in der Infrastruktur zu suchen, doch auch bei der Tarifstruktur besteht noch Nachholbedarf.... [mehr]

Deutsche Telekom will 200 Mbit/s per Koax-Kabel anbieten

Logo von IMAGES/STORIES/LOGOS-2015/TELEKOM2

Bereits seit 2011 tritt die Deutsche Telekom nach einer Pause von 10 Jahren als Kabelnetzanbieter bei bestimmtem Hausgemeinschaften auf. Ein großes Beispiel wäre die Deutsche Annington, die als erste Wohnungsbaugesellschaft den Deal mit der Deutschen Telekom einging. Bisher sind drei Tarife über... [mehr]