WCM Forum - Warnung vor kritischer Java-Lücke

WCM Forum (http://www.wcm.at/forum/index.php)

- IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)

- - Warnung vor kritischer Java-Lücke (http://www.wcm.at/forum/showthread.php?t=244969)

Christoph

27.08.2012 18:27

Warnung vor kritischer Java-Lücke

Zitat:

Die derzeit aktuelle Java-Version enthält eine schwerwiegende Sicherheitslücke, durch die man sein System beim Besuch einer speziell präparierten Webseite mit Schadcode infizieren kann. Die Lücke wird bereits aktiv ausgenutzt – bislang nur für gezielte Angriffe. Da aber ein Exploit im Umlauf ist, dürfte es nicht lange dauern, bis Cyber-Ganoven sie auch für breit angelegte Angriffswellen ausnutzen.

heise Security konnte das Problem nachvollziehen. Anhand der öffentlich zugänglichen Informationen ließ sich eine Proof-of-Concept-Seite erstellen: Beim Aufruf der Seite hat das Java-Plug-in ohne Rückfrage einen Prozess, in diesem Fall die calc.exe, ausgeführt. Statt des Taschenrechners hätte die Webseite aber auch einen Schädling herunterladen und ausführen können.

Betroffen sind alle 7er Versionen von Java. In unserem Test funktionierte der Exploit unter Windows in Verbindung mit allen verbreiteten Browsern einschließlich Google Chrome. Das widerspricht den Aussagen der Sicherheitsexperten von DeepEnd Research, laut denen sich die Schwachstelle nicht unter Chrome ausnutzen lässt. Wer Java auf seinem System installiert hat, sollte die Browser-Plug-ins umgehend deaktivieren – zumindest solange, bis Oracle einen Patch herausgibt.

Generell ist es eine Überlegung Wert, das Browser-Plug-in von Java in den Ruhestand zu schicken. Schließlich ist die Wahrscheinlichkeit gering, noch auf eine Webseite zu stoßen, die Java für legitime Zwecke einsetzt. Für Webseiten, die nach wie vor unvermeidbar Java einsetzen, kann man einen Zweitbrowser bereithalten. Lokale Java-Anwendungen starten auch mit deaktivierten Plug-ins wie gewohnt.

Bei den bisher beobachteten gezielten Angriffen wird die Lücke zur Installation des Trojaner Poision Ivy genutzt. Die Malware wird dabei auf einem Server in Singapur gehostet. Oracle hat sich bislang noch nicht zu dem Problem geäußert. Daher ist noch völlig unklar, wann die Schwachstelle geschlossen wird. Das nächste reguläre Update würde erst am 16. Oktober erscheinen. (rei)

Quelle: http://www.heise.de/newsticker/meldu...e-1675454.html

Christoph

28.08.2012 22:39

Zitat:

BSI warnt vor hochkritischer Java-Lücke

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor der Montag gemeldeten kritischen Lücke in Java; auch das US-Cert hat inzwischen ein Advisory herausgegeben. Von der Lücke betroffen sind nach derzeitigem Kenntnisstand sämtliche 7er Versionen von Java – einschließlich der derzeit aktuellen 7 Update 6. Dabei spielt es keine Rolle, unter welchem Betriebssystem und mit welchem Browser man Java nutzt.

Die Schwachstelle sorgt dafür, dass man sein System beim Besuch einer speziell präparierten Webseite mit Malware infizieren kann. Und das ist gar nicht so unwahrscheinlich: der Exploit-Code ist bereits für jedermann zugänglich im Netz verfügbar. Einen Patch gibt es bislang nicht. BSI und US-Cert empfehlen deshalb nun ebenfalls, das Java-Plug-in in den Browsern zu deaktivieren. Wie man das Plug-in abschaltet, erfährt man auf den folgenden Seiten:

Java-Plug-in unter Firefox deaktivieren
Plug-ins unter Chrome deaktivieren
Java-Plug-in unter Safari deaktivieren
Java-Plug-in unter Opera deaktvieren

Beim Internet Explorer ist das Deaktivieren von Java offenbar alles andere als trivial. Obwohl wir sämtliche Plug-ins von Oracle unter "Add-Ons verwalten" deaktiviert hatten, funktionierte der Java-Exploit auf unserem Testsystem weiterhin und startete den Taschenrechner. Wer den IE einsetzt, sollte Java daher besser vollständig über Systemsteuerung/Software deinstallieren. Ob man Java erfolgreich deaktiviert hat, verrät die Java-Testseite des Browserchecks.

Wer regelmäßig auf Webseiten angewiesen ist, die man ohne Java nicht vernünftig benutzen kann, sollte einen Browser einsetzen, bei dem man Plug-in-Berechtigungen per Site reglementieren kann. Das geht etwa in Chrome unter Inhaltseinstellungen oder mit der Erweiterung NoScript für Firefox. Als letzten Notbehelf kann man sich speziell für den Aufruf dieser Seiten eine Zweit-Browser mit aktivem Java einrichten.

Das Downgrade auf Java 6 ist übrigens keine sinnvolle Alternative: zum Einen kann man derzeit nicht ausschließen, dass die Schwachstelle auch in der ein oder anderen 6er Version enthalten ist. Zum Anderen klaffen in den alten Java-Versionen zahlreiche weitere Sicherheitslöcher, die in der 7er Version bereits geschlossen wurden. Oracle hat bislang weder seine Kunden vor der Schwachstelle gewarnt noch auf unsere Presseanfrage reagiert. Das nächste planmäßige Java-Update steht erst im Oktober an.

Wie der Exploit funktioniert und worin die Sicherheitslücke eigentlich besteht, erklärt der heise-Security-Artikel Vulkanausbruch auf Java – Java-0-Day unter der Lupe.

Quelle: http://www.heise.de/newsticker/meldu...e-1677249.html

Das liest sich ernst!

Christoph

30.08.2012 20:56

Zitat:

Oracle und Microsoft blamieren sich bei Reaktion auf Java-Lücke

Oracle weiß angeblich seit über vier Monaten von der kritischen Java-Schwachstelle, die bereits aktiv für Angriffe ausgenutzt wird – hat aber immer noch nicht reagiert. Dafür gibt immerhin Microsoft mittlerweile Tipps zum Schutz vor Infektionen – aber die funktionieren nicht.

Auf der Security-Mailingliste Bugtaq berichtet der Forscher Gowdiak, dass seine Firma Security Explorations im Rahmen eines Forschungsprojekts zahlreiche Lücken in Java entdeckt und im April dieses Jahres vertraulich an den Hersteller gemeldet hat. Unter den gemeldeten Schwachstellen sollen sich auch die beiden befinden, die der jüngst aufgetauchte Exploit zum Abschalten der Java-Sandbox ausnutzt.

Nach eigenen Angaben des Forschers hat er Oracle sogar das Abschalten der Sandbox mit einem Proof-of-Concept demonstriert. Gowdiak hat zuletzt am 23. August einen Statusbericht von dem Unternehmen bekommen, laut dem 19 der 25 noch ungepatchten Lücken bereits intern im Quellcode geschlossen wurden – einschließlich der beiden, die jetzt aktiv ausgenutzt werden. Planmäßig würden diese Änderungen frühestens am nächsten Critical Patch Update (CPU) am 16. Oktober in die downloadbare Java-Version übernommen.
......

Update vom 30.08., 19:40: Oracle hat am heutigen Donnerstagabend ein Notfall-Update für Java herausgegeben. Ein erster Test von heise Security ergab, dass durch das Update der Exploit in seiner bisher bekannten Form blockiert wird. (rei)

Quelle und ganzer Artikel: http://www.heise.de/newsticker/meldu...e-1695480.html

Zitat:

Update: Oracle reagiert mit Notfall-Update auf Java-Schwachstelle

Oracle hat soeben kommentarlos die Java-Version 7 Update 7 herausgegeben, die offenbar eine hochkritische Schwachstelle beheben soll, welche bereits aktiv für Angriffe ausgenutzt wird. Der dazugehörige Security Alert auf der Herstellerseite war am heutigen Donnerstagabend noch leer, ein erster Test von heise Security zeigte jedoch, dass der Exploit in seiner bekannten Form nach dem Update tatsächlich blockiert wird. Auch eine von uns abgewandelte Exploit-Version wurde rechtzeitig gestoppt.

Wer Java auf seinem System installiert hat, sollte die neue Java-Version umgehend installieren. Das Sicherheitsproblem existiert in Java 7 bis einschließlich Update 6 in Verbindung mit allen unterstützen Betriebssystemen und Browsern. Durch die Schwachstelle kann ein Angreifer die Kontrolle über den Rechner übernehmen und etwa Schadcode installieren, wenn man eine präparierte Webseite ansurft. (rei)

Quelle: http://www.heise.de/newsticker/meldu...e-1696086.html

Na heiter. :eek:

Christoph

31.08.2012 10:21

Zitat:

Nur 9 von 22 Virenwächtern blockieren Java-Exploit

Nicht einmal die Hälfte von 22 untersuchten Antivirenprogrammen schützt vor dem derzeit kursierenden Exploit, der eine hochkritische Schwachstelle in der Java-Version 7 Update 6 ausnutzt. Das kam bei einer im Auftrag von heise Security durchgeführten Analyse des Testlabors AV-Comparatives heraus.

Wir haben zwei Versionen des Exploits getestet: Erstens eine Basisversion, die im Wesentlichen auf dem veröffentlichten Proof-of-Concept beruhte und statt des Taschenrechners das Notepad gestartet hat. Die zweite Variante haben wir um eine Download-Routine ergänzt, die eine EXE-Datei aus dem Internet auf die Platte schreibt. Als Testsystem kam Windows XP zum Einsatz, auf dem außer im Fall von Avast, Microsoft und Panda die Security-Suiten installiert waren.

Von den 22 Testkandidaten konnten nur 9 die beiden Exploit-Variationen blockieren (Avast Free, AVG, Avira, ESET, G Data, Kaspersky, PC Tools, Sophos und Symantec). Gepatzt haben hingeben 12 Virenwächter (AhnLab, Bitdefender, BullGuard, eScan, F-Secure, Fortinet, GFI-Vipre, Ikarus, McAfee, Panda Cloud Antivirus. Trend Micro und Webroot). Microsofts kostenlose Security Essentials konnten zumindest die Basisversion des Exploits stoppen.

Bei den Ergebnissen ist zu beachten, dass sie eine Momentaufnahme vom 30. August um 13 Uhr sind und keine Rückschlüsse auf die Gesamtqualität der Virenschutzprogramme erlauben. Die getestete Java-Version war zu diesem Zeitpunkt aktuell, der Exploit-Code bereits seit mehreren Tagen im Umlauf.

Die Ergebnisse zeigen, dass man sich beim Schutz seines Systems nicht allein auf den Virenwächter verlassen darf. Auch die installierten Anwendungen und Plug-ins müssen gepflegt werden, damit sie Schädlingen keine Schlupflöcher bieten. Die kritische Java-Lücke hat Oracle allem Anschein nach am Donnerstagabend mit der Java-Version 7 Update 7 geschlossen. Wer Java auf seinem System installiert hat, sollte das Update umgehend einspielen.

Man kann davon ausgehen, dass sich der Exploit im Waffenarsenal der Cyber-Ganoven noch einige Jahre größter Beliebtheit erfreuen wird, da er plattformübergreifend funktioniert und sehr zuverlässig ist. Wie zuverlässig er ist, zeigt ein Blick in die Statistik einer Installation des BlackHole-Angriffsbaukastens: Durch den Einbau des Exploits beträgt die Erfolgsquote der Java-Exploits 75 bis 99 Prozent. Insgesamt konnte BlackHole jeden vierten Rechner infizieren – üblicherweise klappt das nur in einem von zehn Fällen. (rei)

Quelle: http://www.heise.de/newsticker/meldu...t-1695906.html

Christoph

02.09.2012 20:59

Zitat:

Update öffnet neue kritische Sicherheitslücke

Das von Oracle verteilte Java 7 Update 7, das eine kritische Sicherheitslücke schließen sollte, enthält einen weiteren Fehler, der ebenso gefährlich ist. Anwender sollten deshalb selbst nach dem Einspielen des Updates die Java-Plugins im Browser deaktivieren.

Das seit dem Abend von 30. August 2012 verteilte Update 7 für Java 7 öffnet eine Sicherheitslücke (CVE-2012-4681) über die ein Angreifer Code auf den betroffen Rechner einschleusen und übernehmen können soll. Eigentlich sollte die Aktualisierung eine ebenso gefährliche Lücke schließen, die seit letzter Woche aktiv genutzt wird. Der neue Fehler kann ebenfalls über den Besuch einer präparierten Webseite ausgenutzt werden. Anwender sollten deshalb Java-Plugins in sämtlichen Browsern deaktivieren oder ausgeschaltet lassen.

Oracle hatte am Donnerstag Abend außerplanmäßig einen Patch für die erste kritisches Sicherheitslücke veröffentlicht. Zunächst wollten die Entwickler bei Oracle damit auf das für Oktober 2012 geplante reguläre Update warten. Sie sahen sich aber offenbar unter Zugzwang, nachdem nicht nur der Fehler veröffentlicht wurde, sondern auch bekannt wurde, dass Oracle bereits seit April 2012 davon wusste.
Patches nur mit regulären Updates

Damals hatte das polnische Sicherheitsunternehmen Security Explorations mehrere Fehler gefunden und mit Beispielcode (Proof-of-Concepts) an Oracle geschickt. Die Entwickler dort versprachen, die Fehler nach und nach zu korrigieren und in den regulären Updates zu veröffentlichen, die dreimal im Jahr erscheinen. Das Sicherheitsunternehmen hat auch die neue Lücke im Update 7 entdeckt. Sie kann in Kombination mit weiteren noch offenen Lücken ausgenutzt werden.

Mit beiden Fehlern kann die Sandbox-Funktion in Java umgangen und damit Code auf dem Rechner eines Opfers ausgeführt werden, der ungehindert auf das System zugreifen kann. Der Code lässt sich beispielsweise in einem Java-Applet unterbringen. Das wird dann auf einer maliziösen Webseite eingebettet.

Oracle hatte kurz nach der Veröffentlichung des Updates 7 für Java 7 über Twitter noch Entwarnung gegeben: Es gebe keinen Grund, Java in Browsern zu deaktivieren, hieß es damals.

Quelle: http://www.golem.de/news/java-7-upda...209-94274.html

Christoph

07.09.2012 20:50

Zitat:

Kostenlose Java-Sicherheitsprüfung

Eine im August 2012 entdeckte Sicherheitslücke kann eine Infektion schon beim Besuch von präparierten Webseiten auslösen. Das Internet-Security-Unternehmen G Data bietet dagegen auf seiner Internetseite einen kostenlosen Java-Sicherheitscheck an.

Die Sicherheitslücke mit der Nummer CVE-2012-4618, eine sogenannte 0-Day Vulnerability, wurde im August entdeckt. Schadcode, mit dem diese Sicherheitslücke ausgenutzt werden kann, folgte schnell und wurde von Angreifern in automatisierte Angriffs-Tools, den Exploit-Kits eingebaut. Kurz darauf wurden die ersten Webseiten gefunden, die den Exploit nutzten, um bei ahnungslosen Besuchern unbemerkt Schadprogramme zu installieren.

Der Java-Entwickler Oracle hat schnell auf das Problem reagiert und ein Update veröffentlicht, das die Sicherheitslücke schließt.

Der Online-Check von G-Data testet nun, ob der Windows-Rechner gegen die Bedrohung geschützt ist. Falls es sich um die bedrohte Version handelt, werden Hinweise angezeigt, was man tun kann, um den PC gegen diese Angriffe abzusichern.

Quelle: http://www.pcgo.de/news/kostenlose-j...ium=newsletter

zonediver

07.09.2012 21:56

...wenn man den Dreck nicht für's OnlineBanking benötigen würde, wäre das schon längst vom Rechner geflogen - MÜLLSOFTWARE :mad:

Christoph

07.09.2012 22:06

Das ist so wie der Flash-Player, die meisten brauchen/wollen ihn, die Prois bringen aber immer wieder Zores. :look:

enjoy2

07.09.2012 22:30

Zitat:

Zitat von zonediver (Beitrag 2478203)

...wenn man den Dreck nicht für's OnlineBanking benötigen würde, wäre das schon längst vom Rechner geflogen - MÜLLSOFTWARE :mad:

welche Seite braucht JAVA für Online-Banking und nicht Javascript?

TheltAlpha

08.09.2012 08:30

Was mir bei der Testseite von G-Data nicht klar ist: Wird hier auf die Sicherheitslücke, die bis einschließlich Update 6 bestanden hat und mit Update 7 geschlossen wurde, geprüft? Oder (auch) auf die neue Sicherheitslücke, die mit Update 7 geöffnet wurde?

Christoph

08.09.2012 12:26

Ich hab´s getestet, mit 1.6.0_33,, es kam nur die Meldung, daß die Version veraltet ist und die neue geladen werden soll. :confused:

TheltAlpha

19.10.2012 21:13

Hallo!

Ich habe gerade gesehen, dass das Update 9 von Java bereits verfügbar ist. Weiß man schon, ob alle bekannten Sicherheitslöcher damit gestopft sind? Es gab ja da

1. eine Lücke, die durch das Update 7 geöffnet wurde, siehe http://www.wcm.at/forum/showpost.php...91&postcount=5, sowie

2. weitere entdeckte Lücken, siehe http://www.wcm.at/forum/showthread.p...ke-245137.html.

TheltAlpha

22.10.2012 22:55

Ich bin fündig geworden: http://www.heise.de/security/meldung...e-1730692.html

Zitat:

Gegenüber heise Security merkte Gowdiak an, dass ein kritisches Sicherheitsloch, das einen Ausbruch aus der Java-Sandbox erlaubt, allerdings weiterhin in Java klafft. Oracle erklärte Gowdiak seinen Angaben zufolge, dass das Unternehmen bereits in der finalen Testphase der Oktober-Patches war, als er die Schwachstelle meldete. Diese und eine weitere, weniger schwerwiegende Lücke sollen daher erst zum nächsten planmäßigen Java-Patchday am 19. Februar 2013 geschlossen werden.

Ich verstehe nicht, wie man in solchen Fällen so unflexibel sein kann.

Christoph

23.10.2012 21:06

Zitat:

Sicherheitsforscher patcht Java im Selbstversuch

Weil Oracle sich bis Februar nächsten Jahres Zeit lassen will, griff ein Sicherheitsforscher jetzt zur Selbsthilfe: Adam Gowdiak hat einen Patch für eine kritische Sicherheitslücke in Java entwickelt, die er selbst entdeckt hatte. Davon berichtet er auf der Sicherheits-Mailingliste Full Disclosure. Zur Veröffentlichung ist der Patch jedoch nicht gedacht; dadurch würde der Forscher auch die bislang unter Verschluss gehaltenen Details zur Lücke verraten. Mit seinem Experiment will Gowdiak den Java-Hersteller Oracle animieren, die Herausgabe eines offiziellen Patches zu beschleunigen.

Gowdiak hatte Oracle Ende September über die kritische Lücke informiert, durch die ein Angreifer mit Hilfe eines speziell präparierten Applets mit Anwenderrechten auf dem System wüten kann. Damit war er gerade zu spät dran für den Oktober-Patchday (Critical Patch Update, CPU). Oracle erklärte Gowdiak, dass sich das Unternehmen zu diesem Zeitpunkt bereits in der finalen Testphase der Oktober-Patches befunden habe – und vertröstete ihn auf den nächsten planmäßigen CPU-Termin am 19. Februar 2013.

Daraufhin entwickelte der Sicherheitsforscher selbst einen Patch, um den Aufwand besser abschätzen zu können. Das Ergebnis: Um die Schwachstelle zu schließen, musste er nach eigenen Angaben nur 25 Zeichen im Java-Quellcode ändern. Der Zeitaufwand soll gerade mal 30 Minuten betragen. Laut Gowdiak hat der Patch keinen nennenswerten Einfluss auf die Programmlogik von Java, weshalb man sich die aufwendigen Integrationstests, bei denen die Auswirkungen der Änderungen auf das Zusammenspiel von Java mit anderen Programmen untersucht werden, sparen könne.

Vermutlich sieht Oracle auch deshalb keinen Grund zur Eile, weil die Details über die Lücke bislang nicht öffentlich bekannt sind. Das weckt Erinnerungen an eine vergleichbare Schwachstelle, die im August von Cyber-Kriminellen ausgenutzt wurde – Monate nachdem sie bereits von Gowdiak entdeckt und an Oracle gemeldet worden war. (rei)

Quelle: http://www.heise.de/newsticker/meldu...h-1735009.html

Alle Zeitangaben in WEZ +2. Es ist jetzt 15:31 Uhr.