Java: Auch das aktuelle Update hat gravierende Lücken

SicherheitSicherheitsmanagement
Java Logo

Darauf haben Experten des Unternehmens Security Explorations hingeweisen. Ihnen zufolge können Cyberkriminelle darüber Schadcode einschleusen und außerhalb der Java-Sandbox ausführen. Oracle wurde über die neuen Schwachstellen informiert. Das Unternehmen hat eine Untersuchung eingeleitet.

Forscher des polnischen Sicherheitsunternehmens Security Explorations haben Computerworld zufolge zwei Anfälligkeiten in Java 7 Update 11 entdeckt. Das von ihnen ausgehende Risiko stufen sie als kritisch ein, weil sich die Schwachstellen ausnutzen lassen, um Schadcode außerhalb der Java-Sandbox auszuführen.

Wie Adam Gowdiak, Gründer von Security Explorations, auf Full Disclosure schreibt, ist Oracle seit Freitag über die Lücken informiert. Dem Unternehmen läge auch Beispielcode für einen funktionierenden Exploit vor. Weitere technische Details hält Security Explorations zurück, bis ein Patch zur Verfügung steht.

Das Update 11 für Java 7 liegt seit rund einer Woche vor. Oracle stopfte damit eine Zero-Day-Lücke, die von Cyberkriminellen schon ausgenutzt wurde. Einer Analyse der Sicherheitsfirma Immunity zufolge wurden für den Angriff zwei Schwachstellen in Java kombiniert, wodurch sich Schadcode außerhalb der Sandbox ausführen ließ. Das Update 11 schließe aber nur eine der beiden Lücken. Sollten Hacker eine andere Anfälligkeit finden, um die gepatchte zu ersetzen, könne ein neuer Exploit entwickelt werden, warnte Immunity.

Gowdiak erklärte gegenüber Computerworld, dass die von seinem Unternehmen gemeldeten Fehler in Java 7 Update 11 unabhängig von der Lücke seien, die laut Immunity noch nicht geschlossen wurde. Auf der Website seines Unternehmens heißt es, Oracle habe die Informationen über die neuen Zero-Day-Lücken erhalten und eine Untersuchung eingeleitet. Insgesamt hat Security Explorations bisher 52 Löcher im Code von Java 7 entdeckt.

Trend Micro warnt indes vor Schadsoftware, die sich als das Update 11 für Java 7 ausgibt. Sie wird über manipulierte Websites verteilt. Nutzer, die auf den gefälschten Patch hereinfallen, installieren statt einer neuen Java-Version eine Hintertür, mit deren Hilfe Angreifer die vollständige Kontrolle über das System übernehmen können. Die Malware an sich nutze aber keine Java-Lücke aus, sondern nur die zahlreichen Warnungen vor Schwachstellen in Java und die damit verbundenen Ängste von Nutzern, schreibt Trend Micro.

Umfrage

Was beschäftigt Sie als IT-Verantwortlichen 2013 voraussichtlich am meisten (bis zu 3 Antworten möglich)?

  • IT-Sicherheit (27%, 136 Stimme(n))
  • Cloud Computing (13%, 64 Stimme(n))
  • Mobile Computing für die Mitarbeiter (14%, 71 Stimme(n))
  • Bring your own Device (BYOD) (8%, 42 Stimme(n))
  • Migration auf Windows 7 (13%, 65 Stimme(n))
  • Migration auf Windows 8 (6%, 29 Stimme(n))
  • Virtualisierung (14%, 70 Stimme(n))
  • Sonstiges (4%, 21 Stimme(n))

Gesamt: 219

Loading ... Loading ...