> > > > Schwerwiegende Sicherheitslücke in der aktuellen Java-Version (Update 3)

Schwerwiegende Sicherheitslücke in der aktuellen Java-Version (Update 3)

Veröffentlicht am: von

javaSeit einigen Tagen ist eine schwerwiegende Sicherheitslücke in der aktuellen Java-Version bekannt. Das BSI empfiehlt sogar die Deinstallation des Plugins. Bei der betroffenen Version handelt es sich um die Java-Version 7 Update 10. Die betroffene Sicherheitslücke wird offenbar bereits von Angreifern genutzt. Sie macht es möglich Code in ein vollständig gepatchtes Windows-System mit Java 7 Update 10 einzuschleusen. Der inzwischen vollständig aufgedeckt und analysierte Exploit wird derzeit hauptsächlich dazu benutzt, um über das Java-Plugin Malware in das System einzuschleusen. Auch wenn wir derzeit erst Tag drei nach dem Bekanntwerden des Exploits zählen und sich damit die Anzahl der Seiten, welche den Exploit ausnutzen, noch in Grenzen hält, so ist damit zu rechnen, dass die Verbreitung bald rasant ansteigen wird. Grund dafür ist unter anderem ein fertig angepasstes Angriffsmodul für die Exploit-Kits Black Hole und Nuclear Pack.

Ihr als Nutzer sollten bis zum Update des Java-Plugins eben dieses deaktivieren. Dies könnt ihr meist über die Einstellungen eures Browsers (Firefox und Chrome) tun. Wer den Internet Explorer verwendet, der sollte Java komplett vom System entfernen und es über die Systemsteuerung/Software deinstallieren. Apple hat inzwischen ebenso wie Mozilla reagiert und deaktiviert das Java-Plugin aus der Ferne über einen Blacklisteintrag.

Update 1:

Oracle hat inzwischen die Java-Version 7 Update 11 veröffentlicht, welche die Sicherheitslücke schließt. Zudem wird das Sicherheitslevel für unsignierte Applikationen von mittel auf hoch gesetzt. Somit werden Web-Applikationen nur noch nach Bestätigung des Nutzers ausgeführt. Das Update ist direkt bei Java verfügbar.

Update 2:

Offenbar hat Oracle mit der Java-Version 7 Update 11 nur eine von zwei Lücken geschlossen. Wie KrebsOnSecurity nun berichtet, ist ein neuer Exploit aufgetaucht, der bereits exklusiv zu jeweils 5.000 US-Dollar verkauft wurde. Somit ist auch die Java-Version 7 Update 11 nicht gegen Angriffe dieser Art geschützt.

Update 3:

Ursprünglich hatte Oracle für den 19. Februar das nächste Update von Java vorgesehen, doch aufgrund der zahlreichen Exploits hat man dieses Update vorgezogen. Von den insgesamt 50 geschlossenen Sicherheitslücken stuft man selbst 26 als besonders schwerwiegend ein. Die Java-Version 7 wird auf Update 13 gebracht, Java 6 auf Update 39. Beide stehen für Windows, OS X und Linux direkt bei Oracle zum Download bereit. Die Installation wird bei Verwendung von Java als Browser-Plugin dringend empfohlen.

Social Links

Kommentare (20)

#11
customavatars/avatar132552_1.gif
Registriert seit: 03.04.2010

Kapitänleutnant
Beiträge: 1770
Ich hatte es lange Zeit installiert, aber schon seit der letzten Lücke habe ich es einfach deinstalliert gelassen. Bis jetzt haben alle Webseiten gut funktioniert.
Problematischer ist da schon Flash.
#12
customavatars/avatar63700_1.gif
Registriert seit: 10.05.2007


Beiträge: 14177
Java ist schon ok, nur nicht im Browser.
#13
Registriert seit: 19.01.2007

Vizeadmiral
Beiträge: 6807
Zitat Drinkey;20031227
Was ist wenn man noch Java 6.38 hat ?
ist in diesem konkreten fall nicht betroffen aber java 6 wird nicht mehr weiter gepflegt, heisst...taucht was auf was bei version 6 ein problem darstellt wird das von oracle nciht mehr gefixt.
#14
Registriert seit: 08.12.2007

Kapitänleutnant
Beiträge: 1555
Seit einigen Tagen erst? Ich habe mir das mal im aktuellen Mozilla Firefox angesehen. Dort hat Mozilla das Java-Addon seit dem 30.Oktober 2012 (!) gesperrt.
#15
Registriert seit: 22.12.2008

Stabsgefreiter
Beiträge: 376
Zitat sabrehawk2;20031200
Kalter Kaffee

Version 7 Update 11

Download der kostenlosen Java-Software

security update.

Laut CB würde der Fehler in diesem kommenden Update gar nicht behoben. Der Kaffee bleibt also heiß...
Ab Version 7 Update 10 gibt es in der Java-Konsole (Systemsteuerung -> Programme -> java) eine Funktion zum Abschalten von JAVA im Browser im Reiter "Sicherheit", dies sollte auch beim IE helfen.

Laut T-Online von heute wäre der Patch aber gegen diese Sicherheitslücke.
Auf der JAVA-Homepage finde ich aber dazu auf die schnelle keine Hinweise.
#16
Registriert seit: 19.01.2007

Vizeadmiral
Beiträge: 6807
Zitat rv73566;20032025
Laut CB würde der Fehler in diesem kommenden Update gar nicht behoben. Der Kaffee bleibt also heiß...
"Oracle hat die schwere Lücke in Java 7 durch Update 11 außerhalb des morgigen Oracle-Patchday geschlossen."

Mit Update 11 ist die Lücke geschlossen, ob der Fix robust ist bleibt abzuwarten aber das ist der derzeitige stand.[COLOR="red"]

---------- Post added at 12:17 ---------- Previous post was at 12:12 ----------

[/COLOR]
Zitat newAtioc;20031956
Seit einigen Tagen erst? Ich habe mir das mal im aktuellen Mozilla Firefox angesehen. Dort hat Mozilla das Java-Addon seit dem 30.Oktober 2012 (!) gesperrt.
Einige versionen sind schon länger gesperrt, alle versionen sind laut mozilla erst seit kurzem gesperrt woden Protecting Users Against Java Vulnerability | Mozilla Add-ons Blog
#17
Registriert seit: 04.11.2010
Karlsruhe
Obergefreiter
Beiträge: 76
Schaut bei Oracle:

http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html

Grüße
#18
Registriert seit: 30.01.2012

Gefreiter
Beiträge: 36
Java war und wird in Zukunft, so wie es ausschaut, immer ein Problemkind auf dem Rechner sein. Leider ist es so, dass man Java für einige Anwendungen und Webseiten benötigt. Ich selbst habe zur Zeit kein Programm das auf Java angewiesen ist aber leider wird es für wenige Webseiten benötigt. Trotzdem habe ich Java komplett vom Rechner (auch von allen Browsern) entfernt, obwohl NoScript als Erweiterung in meinem Browser installiert ist. Wenn ich Java nach längerer Zeit mal wieder benötige wird es temporär installiert und nach getaner Arbeit wieder entfernt. Wer nicht unbedingt auf Java angewiesen ist, sollte es meiner Meinung nach einfach deinstallieren.
#19
customavatars/avatar94146_1.gif
Registriert seit: 01.07.2008

Leutnant zur See
Beiträge: 1069
Mhh auf meinem MacBook hab ich noch kein Update über die "Softwareaktualisierung" bekommen.
Mit javac -version sag er mir javac 1.6.0_37 also schon relative alt.
Weiß einer evtl. voran das liegen könnten? ^^
#20
customavatars/avatar3377_1.gif
Registriert seit: 15.11.2002
www.twitter.com/aschilling
[printed]-Redakteur
Tweety
Beiträge: 30749
Apple liefert die Updates nicht mehr selbst aus, da musst du dich drum kümmern.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Telekom baut VDSL-Anschlüsse zurück und kündigt 30.000 Anschlüsse

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

Kurz vor dem Wochenende tauchten die ersten Meldungen über massenhaft gekündigte VDSL-Anschlüsse in Niedersachsen auf. 30.000 Anschlüsse sollen dort davon betroffen sein. Als Grund werden fehlgeschlagene Verhandlungen mit EWE über einen Mietvertrag für VDSL-Leitungen... [mehr]

Cloudflare bietet unter 1.1.1.1 einen offenen DNS an

Logo von IMAGES/STORIES/2017/DNS-1111

Wann immer eine Internetadresse wie www.hardwareluxx.de im Browser eingegeben wird, sorgt das Domain Name System (DNS) für die Namensauflösung in die entsprechende IP-Adresse des Servers. Ohne DNS bestünde unser Internet nur aus IP-Adressen, was spätestens im Falle von IPv6 zu... [mehr]

Schweizer ISP bietet 10 GBit/s für 34 Euro

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

Während in Deutschland über eine flächendeckende Internetversorgung mit mindestens 50 MBit/s gesprochen wird und WLAN in Bussen bis 2050 diskutiert wird, sind andere Länder schon weiter. Die neue Bundesregierung hat zumindest schon einmal den Ausbau der digitalen Infrastruktur in den Fokus... [mehr]

AVM liefert FRITZ!Box 6591 Cable mit DOCSIS 3.1 aus

Logo von IMAGES/STORIES/2017/AVM

AVM hat damit begonnen, die ersten Exemplare der FRITZ!Box 6591 Cable auszuliefern. Der Hersteller hat seinen neusten Kabel-Router schon vor einigen Monaten vorgestellt und setzt diesen nun im Politbetrieb bei Unitymedia ein. Der Kabelnetzbetreiber hat in Bochum das Kabelnetz bereits auf den neuen... [mehr]

Landesmedienanstalt NRW fordert weitere Streamer auf Rundfunklizenzen zu...

Logo von IMAGES/STORIES/2017/LANDESMEDIENANSTALT

Die Landesmedienanstalt NRW verschickt aktuell wieder Briefe an Streamer im deutschen Bundesland. In der Vergangenheit wurden von der Behörde bereits bekannte Let‘s-Player wie Gronkh und PietSmiet aufgefordert eine Rundfunklizenz zu beantragen oder andernfalls mit hohen Bußgeldern zu... [mehr]

250 Megabit für 15 Millionen: Deutsche Telekom will Super-Vectoring zügig...

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

Während die Bundesregierung den Internet-Ausbau weiter auf die lange Bank schieben will, möchte die Deutsche Telekom schneller als erwartet Fakten schaffen. Schon bis zum Jahresende sollen 15 Millionen Haushalte an das Super-Vectoring-Netz angeschlossen werden. Freuen dürfen sich vermutlich aber... [mehr]