> > > > Schwerwiegende Sicherheitslücke in der aktuellen Java-Version (Update 3)

Schwerwiegende Sicherheitslücke in der aktuellen Java-Version (Update 3)

PDFDruckenE-Mail

Erstellt am: von

javaSeit einigen Tagen ist eine schwerwiegende Sicherheitslücke in der aktuellen Java-Version bekannt. Das BSI empfiehlt sogar die Deinstallation des Plugins. Bei der betroffenen Version handelt es sich um die Java-Version 7 Update 10. Die betroffene Sicherheitslücke wird offenbar bereits von Angreifern genutzt. Sie macht es möglich Code in ein vollständig gepatchtes Windows-System mit Java 7 Update 10 einzuschleusen. Der inzwischen vollständig aufgedeckt und analysierte Exploit wird derzeit hauptsächlich dazu benutzt, um über das Java-Plugin Malware in das System einzuschleusen. Auch wenn wir derzeit erst Tag drei nach dem Bekanntwerden des Exploits zählen und sich damit die Anzahl der Seiten, welche den Exploit ausnutzen, noch in Grenzen hält, so ist damit zu rechnen, dass die Verbreitung bald rasant ansteigen wird. Grund dafür ist unter anderem ein fertig angepasstes Angriffsmodul für die Exploit-Kits Black Hole und Nuclear Pack.

Ihr als Nutzer sollten bis zum Update des Java-Plugins eben dieses deaktivieren. Dies könnt ihr meist über die Einstellungen eures Browsers (Firefox und Chrome) tun. Wer den Internet Explorer verwendet, der sollte Java komplett vom System entfernen und es über die Systemsteuerung/Software deinstallieren. Apple hat inzwischen ebenso wie Mozilla reagiert und deaktiviert das Java-Plugin aus der Ferne über einen Blacklisteintrag.

Update 1:

Oracle hat inzwischen die Java-Version 7 Update 11 veröffentlicht, welche die Sicherheitslücke schließt. Zudem wird das Sicherheitslevel für unsignierte Applikationen von mittel auf hoch gesetzt. Somit werden Web-Applikationen nur noch nach Bestätigung des Nutzers ausgeführt. Das Update ist direkt bei Java verfügbar.

Update 2:

Offenbar hat Oracle mit der Java-Version 7 Update 11 nur eine von zwei Lücken geschlossen. Wie KrebsOnSecurity nun berichtet, ist ein neuer Exploit aufgetaucht, der bereits exklusiv zu jeweils 5.000 US-Dollar verkauft wurde. Somit ist auch die Java-Version 7 Update 11 nicht gegen Angriffe dieser Art geschützt.

Update 3:

Ursprünglich hatte Oracle für den 19. Februar das nächste Update von Java vorgesehen, doch aufgrund der zahlreichen Exploits hat man dieses Update vorgezogen. Von den insgesamt 50 geschlossenen Sicherheitslücken stuft man selbst 26 als besonders schwerwiegend ein. Die Java-Version 7 wird auf Update 13 gebracht, Java 6 auf Update 39. Beide stehen für Windows, OS X und Linux direkt bei Oracle zum Download bereit. Die Installation wird bei Verwendung von Java als Browser-Plugin dringend empfohlen.

Social Links

Kommentare (20)

#11
customavatars/avatar132552_1.gif
Registriert seit: 03.04.2010

Oberbootsmann
Beiträge: 833
Ich hatte es lange Zeit installiert, aber schon seit der letzten Lücke habe ich es einfach deinstalliert gelassen. Bis jetzt haben alle Webseiten gut funktioniert.
Problematischer ist da schon Flash.
#12
customavatars/avatar63700_1.gif
Registriert seit: 10.05.2007
127.0.0.1

Beiträge: 10307
Java ist schon ok, nur nicht im Browser.
#13
Registriert seit: 19.01.2007

Flottillenadmiral
Beiträge: 6009
Zitat Drinkey;20031227
Was ist wenn man noch Java 6.38 hat ?
ist in diesem konkreten fall nicht betroffen aber java 6 wird nicht mehr weiter gepflegt, heisst...taucht was auf was bei version 6 ein problem darstellt wird das von oracle nciht mehr gefixt.
#14
Registriert seit: 08.12.2007

Oberleutnant zur See
Beiträge: 1306
Seit einigen Tagen erst? Ich habe mir das mal im aktuellen Mozilla Firefox angesehen. Dort hat Mozilla das Java-Addon seit dem 30.Oktober 2012 (!) gesperrt.
#15
Registriert seit: 22.12.2008

Stabsgefreiter
Beiträge: 276
Zitat sabrehawk2;20031200
Kalter Kaffee

Version 7 Update 11

Download der kostenlosen Java-Software

security update.

Laut CB würde der Fehler in diesem kommenden Update gar nicht behoben. Der Kaffee bleibt also heiß...
Ab Version 7 Update 10 gibt es in der Java-Konsole (Systemsteuerung -> Programme -> java) eine Funktion zum Abschalten von JAVA im Browser im Reiter "Sicherheit", dies sollte auch beim IE helfen.

Laut T-Online von heute wäre der Patch aber gegen diese Sicherheitslücke.
Auf der JAVA-Homepage finde ich aber dazu auf die schnelle keine Hinweise.
#16
Registriert seit: 19.01.2007

Flottillenadmiral
Beiträge: 6009
Zitat rv73566;20032025
Laut CB würde der Fehler in diesem kommenden Update gar nicht behoben. Der Kaffee bleibt also heiß...
"Oracle hat die schwere Lücke in Java 7 durch Update 11 außerhalb des morgigen Oracle-Patchday geschlossen."

Mit Update 11 ist die Lücke geschlossen, ob der Fix robust ist bleibt abzuwarten aber das ist der derzeitige stand.[COLOR="red"]

---------- Post added at 12:17 ---------- Previous post was at 12:12 ----------

[/COLOR]
Zitat newAtioc;20031956
Seit einigen Tagen erst? Ich habe mir das mal im aktuellen Mozilla Firefox angesehen. Dort hat Mozilla das Java-Addon seit dem 30.Oktober 2012 (!) gesperrt.
Einige versionen sind schon länger gesperrt, alle versionen sind laut mozilla erst seit kurzem gesperrt woden Protecting Users Against Java Vulnerability | Mozilla Add-ons Blog
#17
Registriert seit: 04.11.2010
Aachen
Obergefreiter
Beiträge: 67
Schaut bei Oracle:

http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html

Grüße
#18
Registriert seit: 30.01.2012

Gefreiter
Beiträge: 36
Java war und wird in Zukunft, so wie es ausschaut, immer ein Problemkind auf dem Rechner sein. Leider ist es so, dass man Java für einige Anwendungen und Webseiten benötigt. Ich selbst habe zur Zeit kein Programm das auf Java angewiesen ist aber leider wird es für wenige Webseiten benötigt. Trotzdem habe ich Java komplett vom Rechner (auch von allen Browsern) entfernt, obwohl NoScript als Erweiterung in meinem Browser installiert ist. Wenn ich Java nach längerer Zeit mal wieder benötige wird es temporär installiert und nach getaner Arbeit wieder entfernt. Wer nicht unbedingt auf Java angewiesen ist, sollte es meiner Meinung nach einfach deinstallieren.
#19
customavatars/avatar94146_1.gif
Registriert seit: 01.07.2008
Schnega
Bootsmann
Beiträge: 647
Mhh auf meinem MacBook hab ich noch kein Update über die "Softwareaktualisierung" bekommen.
Mit javac -version sag er mir javac 1.6.0_37 also schon relative alt.
Weiß einer evtl. voran das liegen könnten? ^^
#20
customavatars/avatar3377_1.gif
Registriert seit: 15.11.2002
www.twitter.com/aschilling
[printed]-Redakteur
Tweety
Beiträge: 27646
Apple liefert die Updates nicht mehr selbst aus, da musst du dich drum kümmern.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Amazon Prime Instant Video im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/AMAZON_PRIME_INSTANT_VIDEO/AMAZON_PRIME_INSTANT_VIDEO_LOGO

Klassische Videotheken und Filme auf DVD oder Blu-ray gehen einer ungewissen Zukunft entgegen, denn Video-on-Demand-Dienste locken mit komfortablem und sofortigem Zugang zu Filmen und Serien. Der Online-Versandgigant Amazon gehört schon seit einiger Zeit auch zu den großen Playern unter den... [mehr]

Dropbox greift auf gespeicherte Dokumente zu

Logo von DROPBOX

Wie die Website wncinfosec.com herausgefunden hat, greift der Online-Speicherdienst Dropbox auf Dokumente zu, die dort in der Cloud liegen. Laut ihm greifen mehrere Male Server von den Amazon-Webservices mittels LibreOffice auf das Dokument zu. Der Nutzer generierte die Dokumente mittels... [mehr]

YouTube veröffentlicht Top 10 Video-Listen für 2013

Logo von YOUTUBE

Es ist kurz vor Weihnachten und jedes Unternehmen möchte noch einmal in den Neuigkeiten vertreten sein. Was kommt da besser, als einen Jahresrückblick zu machen und zeitgleich die Nutzer an witzige, nachdenkliche oder verrückte Momente im Jahr 2013 zu erinnern. Und wo ginge das besser, als bei... [mehr]

Google will Handy-Nummer stärker mit Google+ verknüpfen

Logo von IMAGES/STORIES/LOGOS-2013/GOOGLE_2013

Google treibt die Verknüpfung von Google+ und Android weiter voran. Während schon jetzt zahlreiche Funktionen des sozialen Netzwerks an prominenten Stellen platziert werden, sollen künftig auch die Profildaten von Nutzern tiefer integriert werden. Dazu gehört in einem ersten Schritt ab Anfang... [mehr]

Telekom-Tochter: Auch Congstar will DSL drosseln

Logo von CONGSTAR_2013

Nach Informationen des Nachrichtenmagazins Focus soll die Telekom-Tochter Congstar nun doch eine DSL-Drosselung einführen wollen. Kurz nachdem die Deutsche Telekom ihre Pläne zur Drosselung der Internet-Geschwindigkeit nach Erreichen eines bestimmten Datenvolumens offenlegte, versprach Congstar,... [mehr]

Mega überholt Rapidshare

Logo von MEGA-LOGO

Exakt ein Jahr nachdem die Domains der Megaupload Ltd. im Rahmen einer Razzia auf dem neuseeländischen Anwesen von Kim Schmitz durch US-Behörden beschlagnahmt und geschlossen wurden, startete Kim Schmitz alias Kim Dotcom seinen neuen File-Sharing-Dienst Mega. Am 20. Januar 2013 ging... [mehr]