Java: Hacker nutzen neue Zero-Day-Lücke bereits aus

SicherheitSicherheitsmanagement
Java Logo

Betroffen ist die aktuelle Version von Java 7. Ein Patch schon an Oracles nächstem Java-Patchday am 15. Januar ist nicht zu erwarten. Experten empfehlen daher, das Java-Plug-in zu deaktiviern. Oracle schweigt – wie gewohnt.

Sicherheitsforscher haben eine neue Zero-Day-Lücke in Java gefunden, die Hacker bereits ausnutzen. Zuerst hatte der Blog “Malware Don’t Need Coffee” den Fehler gemeldet. Inzwischen wurde die Existenz der Schwachstelle von AlienVault Labs bestätigt. Eine Stellungnahme von Oracle steht indes noch aus.

“Das könnte zu Chaos führen”, schreibt der Autor des Blogs, der sich selbst Kafeine nennt. Beispiele für Schadcode, mit dem sich die Lücke ausnutzen lasse, seien inzwischen in mehreren bekannten Exploit-Kits enthalten, darunter auch “Blackhole”. Kafeine selbst beschreibt die Anfälligkeit ebenfalls detailliert in seinem Blog.

Jaime Blasco, Sicherheitsforscher bei AlienVault Labs, konnte den Fehler nach eigenen Angaben in einer vollständig gepatchten Java-Installation nachvollziehen. Eine Analyse des Exploits habe gezeigt, dass er Sicherheitsprüfungen umgehe, indem er Genehmigungen bestimmter Java-Klassen vortäusche, schreibt Blasco.

Der Exploit sei identisch mit Schadcode, der im vergangenen Jahr für Angriffe auf Internet Explorer, Java und Flash verwendet worden sei. Ein Hacker könne, wenn ein Opfer einem manipulierten Link folge, praktisch die vollständige Kontrolle über dessen Computer übernehmen. “Wir erwarten, dass in den kommenden Tagen auch ein Metasploit-Modul erscheinen wird. Die meisten Exploits Kits werden die neue Lücke eher früher als später aufnehmen.” Kafeine und Blasco empfehlen allen betroffen Nutzern, das Java-Plug-in zu deaktivieren. “Das ist derzeit der einzige Schutz gegen diesen Exploit”, ergänzte Blasco.

Oracle wollte sich auf Nachfrage von TechWeekEurope nicht zu der Zero-Day-Lücke äußern. Der nächste reguläre Patchday des Unternehmens findet am 15. Januar statt. Es ist allerdings nicht davon auszugehen, dass Oracle bis dahin einen Fix entwickeln und so gründlich testen kann, dass er für den produktiven Einsatz geeignet ist. Bis zum übernächsten Patchday am 16. April wird Oracle aber voraussichtlich auch nicht warten können.

Update 12. Januar 12 Uhr 00: Inzwischen hat sich auch das Bundesamt für Sicherheit in der Informationstechnik dazu zu Wort gemeldet: Es empfiehlt Nutzern Java vorerst zu deaktivieren und gibt Hinweise, wie sich die Java-Plug-ins in den gängigen Browsern abschalten lassen.

[mit Material von Tom Brewster, TechWeekEurope]

Umfrage

Was beschäftigt Sie als IT-Verantwortlichen 2013 voraussichtlich am meisten (bis zu 3 Antworten möglich)?

  • IT-Sicherheit (27%, 136 Stimme(n))
  • Cloud Computing (13%, 64 Stimme(n))
  • Mobile Computing für die Mitarbeiter (14%, 71 Stimme(n))
  • Bring your own Device (BYOD) (8%, 42 Stimme(n))
  • Migration auf Windows 7 (13%, 65 Stimme(n))
  • Migration auf Windows 8 (6%, 29 Stimme(n))
  • Virtualisierung (14%, 70 Stimme(n))
  • Sonstiges (4%, 21 Stimme(n))

Gesamt: 219

Loading ... Loading ...