> > > > Schwerwiegende Sicherheitslücke in der aktuellen Java-Version (Update 3)

Schwerwiegende Sicherheitslücke in der aktuellen Java-Version (Update 3)

PDFDruckenE-Mail

Erstellt am: von

javaSeit einigen Tagen ist eine schwerwiegende Sicherheitslücke in der aktuellen Java-Version bekannt. Das BSI empfiehlt sogar die Deinstallation des Plugins. Bei der betroffenen Version handelt es sich um die Java-Version 7 Update 10. Die betroffene Sicherheitslücke wird offenbar bereits von Angreifern genutzt. Sie macht es möglich Code in ein vollständig gepatchtes Windows-System mit Java 7 Update 10 einzuschleusen. Der inzwischen vollständig aufgedeckt und analysierte Exploit wird derzeit hauptsächlich dazu benutzt, um über das Java-Plugin Malware in das System einzuschleusen. Auch wenn wir derzeit erst Tag drei nach dem Bekanntwerden des Exploits zählen und sich damit die Anzahl der Seiten, welche den Exploit ausnutzen, noch in Grenzen hält, so ist damit zu rechnen, dass die Verbreitung bald rasant ansteigen wird. Grund dafür ist unter anderem ein fertig angepasstes Angriffsmodul für die Exploit-Kits Black Hole und Nuclear Pack.

Ihr als Nutzer sollten bis zum Update des Java-Plugins eben dieses deaktivieren. Dies könnt ihr meist über die Einstellungen eures Browsers (Firefox und Chrome) tun. Wer den Internet Explorer verwendet, der sollte Java komplett vom System entfernen und es über die Systemsteuerung/Software deinstallieren. Apple hat inzwischen ebenso wie Mozilla reagiert und deaktiviert das Java-Plugin aus der Ferne über einen Blacklisteintrag.

Update 1:

Oracle hat inzwischen die Java-Version 7 Update 11 veröffentlicht, welche die Sicherheitslücke schließt. Zudem wird das Sicherheitslevel für unsignierte Applikationen von mittel auf hoch gesetzt. Somit werden Web-Applikationen nur noch nach Bestätigung des Nutzers ausgeführt. Das Update ist direkt bei Java verfügbar.

Update 2:

Offenbar hat Oracle mit der Java-Version 7 Update 11 nur eine von zwei Lücken geschlossen. Wie KrebsOnSecurity nun berichtet, ist ein neuer Exploit aufgetaucht, der bereits exklusiv zu jeweils 5.000 US-Dollar verkauft wurde. Somit ist auch die Java-Version 7 Update 11 nicht gegen Angriffe dieser Art geschützt.

Update 3:

Ursprünglich hatte Oracle für den 19. Februar das nächste Update von Java vorgesehen, doch aufgrund der zahlreichen Exploits hat man dieses Update vorgezogen. Von den insgesamt 50 geschlossenen Sicherheitslücken stuft man selbst 26 als besonders schwerwiegend ein. Die Java-Version 7 wird auf Update 13 gebracht, Java 6 auf Update 39. Beide stehen für Windows, OS X und Linux direkt bei Oracle zum Download bereit. Die Installation wird bei Verwendung von Java als Browser-Plugin dringend empfohlen.

Social Links

Kommentare (20)

#11
customavatars/avatar132552_1.gif
Registriert seit: 03.04.2010

Oberbootsmann
Beiträge: 860
Ich hatte es lange Zeit installiert, aber schon seit der letzten Lücke habe ich es einfach deinstalliert gelassen. Bis jetzt haben alle Webseiten gut funktioniert.
Problematischer ist da schon Flash.
#12
customavatars/avatar63700_1.gif
Registriert seit: 10.05.2007
127.0.0.1
Modulator
Beiträge: 10573
Java ist schon ok, nur nicht im Browser.
#13
Registriert seit: 19.01.2007

Vizeadmiral
Beiträge: 6232
Zitat Drinkey;20031227
Was ist wenn man noch Java 6.38 hat ?
ist in diesem konkreten fall nicht betroffen aber java 6 wird nicht mehr weiter gepflegt, heisst...taucht was auf was bei version 6 ein problem darstellt wird das von oracle nciht mehr gefixt.
#14
Registriert seit: 08.12.2007

Oberleutnant zur See
Beiträge: 1391
Seit einigen Tagen erst? Ich habe mir das mal im aktuellen Mozilla Firefox angesehen. Dort hat Mozilla das Java-Addon seit dem 30.Oktober 2012 (!) gesperrt.
#15
Registriert seit: 22.12.2008

Stabsgefreiter
Beiträge: 282
Zitat sabrehawk2;20031200
Kalter Kaffee

Version 7 Update 11

Download der kostenlosen Java-Software

security update.

Laut CB würde der Fehler in diesem kommenden Update gar nicht behoben. Der Kaffee bleibt also heiß...
Ab Version 7 Update 10 gibt es in der Java-Konsole (Systemsteuerung -> Programme -> java) eine Funktion zum Abschalten von JAVA im Browser im Reiter "Sicherheit", dies sollte auch beim IE helfen.

Laut T-Online von heute wäre der Patch aber gegen diese Sicherheitslücke.
Auf der JAVA-Homepage finde ich aber dazu auf die schnelle keine Hinweise.
#16
Registriert seit: 19.01.2007

Vizeadmiral
Beiträge: 6232
Zitat rv73566;20032025
Laut CB würde der Fehler in diesem kommenden Update gar nicht behoben. Der Kaffee bleibt also heiß...
"Oracle hat die schwere Lücke in Java 7 durch Update 11 außerhalb des morgigen Oracle-Patchday geschlossen."

Mit Update 11 ist die Lücke geschlossen, ob der Fix robust ist bleibt abzuwarten aber das ist der derzeitige stand.[COLOR="red"]

---------- Post added at 12:17 ---------- Previous post was at 12:12 ----------

[/COLOR]
Zitat newAtioc;20031956
Seit einigen Tagen erst? Ich habe mir das mal im aktuellen Mozilla Firefox angesehen. Dort hat Mozilla das Java-Addon seit dem 30.Oktober 2012 (!) gesperrt.
Einige versionen sind schon länger gesperrt, alle versionen sind laut mozilla erst seit kurzem gesperrt woden Protecting Users Against Java Vulnerability | Mozilla Add-ons Blog
#17
Registriert seit: 04.11.2010
Aachen
Obergefreiter
Beiträge: 67
Schaut bei Oracle:

http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html

Grüße
#18
Registriert seit: 30.01.2012

Gefreiter
Beiträge: 36
Java war und wird in Zukunft, so wie es ausschaut, immer ein Problemkind auf dem Rechner sein. Leider ist es so, dass man Java für einige Anwendungen und Webseiten benötigt. Ich selbst habe zur Zeit kein Programm das auf Java angewiesen ist aber leider wird es für wenige Webseiten benötigt. Trotzdem habe ich Java komplett vom Rechner (auch von allen Browsern) entfernt, obwohl NoScript als Erweiterung in meinem Browser installiert ist. Wenn ich Java nach längerer Zeit mal wieder benötige wird es temporär installiert und nach getaner Arbeit wieder entfernt. Wer nicht unbedingt auf Java angewiesen ist, sollte es meiner Meinung nach einfach deinstallieren.
#19
customavatars/avatar94146_1.gif
Registriert seit: 01.07.2008
Schnega
Bootsmann
Beiträge: 648
Mhh auf meinem MacBook hab ich noch kein Update über die "Softwareaktualisierung" bekommen.
Mit javac -version sag er mir javac 1.6.0_37 also schon relative alt.
Weiß einer evtl. voran das liegen könnten? ^^
#20
customavatars/avatar3377_1.gif
Registriert seit: 15.11.2002
www.twitter.com/aschilling
[printed]-Redakteur
Tweety
Beiträge: 27879
Apple liefert die Updates nicht mehr selbst aus, da musst du dich drum kümmern.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Amazon Prime Instant Video im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/AMAZON_PRIME_INSTANT_VIDEO/AMAZON_PRIME_INSTANT_VIDEO_LOGO

Klassische Videotheken und Filme auf DVD oder Blu-ray gehen einer ungewissen Zukunft entgegen, denn Video-on-Demand-Dienste locken mit komfortablem und sofortigem Zugang zu Filmen und Serien. Der Online-Versandgigant Amazon gehört schon seit einiger Zeit auch zu den großen Playern unter den... [mehr]

Das kann Netflix (nicht)

Logo von IMAGES/STORIES/LOGOS-2013/NETFLIX

In den USA ist Netflix mittlerweile der populärste Video-Streaming-Dienst, entsprechend groß waren und sind die Erwartungen in Deutschland. Hierzulande ist das Angebot seit einigen Stunden verfügbar - Grund genug für einen genaueren Blick auf das, was Netflix kann und nicht kann. Kritik muss... [mehr]

The Avengers: Ein Trailer bedeutet Ärger für Google

Logo von IMAGES/STORIES/LOGOS-2013/HARDWARELUXX_NEWS_NEW

Ob und in welchem Umfang die illegale Vervielfältigung von Filmen der Unterhaltungsbranche tatsächlich Schaden zufügt, ist noch immer umstritten. Die Industrie selbst spricht von Milliarden, so mancher Experte geht von deutlich geringeren Beträgen aus. Angesichts dieser Diskussion wirkt das... [mehr]

eBay meldet unbefugten Zugriff auf Nutzerdaten

Logo von IMAGES/STORIES/LOGOS-2013/EBAY_2013

Die Handelsplattform eBay könnte Opfer eines Hacker-Angriffs geworden sein. Denn über die internationale Presseseite der Tochter PayPal sowie den dazugehörigen Blog ließ das Unternehmen für wenige Minuten mitteilen, dass man alle eBay-Nutzer um eine Veränderung des Passwortes bittet. Weitere... [mehr]

Mozilla Firefox 29 mit runderneuerter Oberfläche steht bereit

Logo von IMAGES/STORIES/LOGOS-2013/FIREFOX-2013-LOGO

Mozilla hat in dieser Woche eine neue Version seines Firefox-Browsers veröffentlicht, die wieder einmal mehr mit zahlreichen signifikanten Neuerungen auf sich aufmerksam zu machen versucht. Größte und wohl auch sichtbarste Neuerung ist die neue „Australis“-Oberfläche, die laut der... [mehr]

Netflix ist ab sofort in Deutschland verfügbar

Logo von IMAGES/STORIES/LOGOS-2013/NETFLIX

Nach Monaten des Wartens ist Netflix heute auch in Deutschland an den Start gegangen. Große Überraschungen bleiben jedoch aus, schließlich waren bereits im Vorfeld nahezu alle wichtigen Details bekannt geworden. Interessenten können zwischen drei, jederzeit kündbaren Tarifen wählen. Für... [mehr]