WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)
-   -   Wieder kritische Lücke in aktueller Java-Version 7 Update 10 (http://www.wcm.at/forum/showthread.php?t=245729)

pc.net 10.01.2013 16:46
Wieder kritische Lücke in aktueller Java-Version 7 Update 10
 
Zitat:
In der aktuellen Java-Version 7 Update 10 klafft eine kritische Sicherheitslücke, die offenbar bereits im großen Stil für Cyber-Angriffe ausgenutzt wird. Wer Java auf seinem Rechner installiert hat, sollte das Java-Plug-in im Browser umgehend deaktivieren.

...

-> weiterlesen

Christoph 10.01.2013 20:22
Zitat:
Update vom 10.01.2013, 17:15: Der Malware-Forscher kafeine hat in seinem Blog ein ZIP-Archiv veröffentlicht, das den Angriffscode enthalten soll. (rei)
Quelle siehe oben.

Christoph 11.01.2013 20:10
Zitat:
BSI empfiehlt Deinstallation von Java

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor der gefährlichen Schwachstelle in der aktuellen Java-Version, die bereits zur Verbreitung von Schädlingen missbraucht wird. Das BSI rät, Java vollständig zu deinstallieren, bis ein Patch verfügbar ist. Ansonsten soll man zumindest die Plug-ins der Browser abschalten.

Wer die Warnung ignoriert und weiterhin mit aktivem Java im Netz unterwegs ist, handelt fahrlässig, denn der Angriffscode kann überall lauern. Immer wieder werden auch seriöse Webseiten nach Hackerangriffen als Virenschleuder missbraucht. Um Opfer einer Malware-Infektion zu werden, muss man die manipulierte Webseite lediglich aufrufen.

Bei einer Analyse eines Angriffs stellte sich heraus, dass die Schwachstelle bereits dafür genutzt wird, um die spanische Ausgabe des BKA-Trojaners zu verbreiten. Man muss fest damit rechnen, dass ähnliche Attacken auch bereits gegen deutsche Nutzer gefahren werden. In prominenten Exploit-Kits wie Black Hole ist ein passendes Angriffsmodul bereits enthalten. Oracle hat sich bislang nicht dazu geäußert, ob und wann ein Patch verfügbar sein wird.
Quelle: http://www.heise.de/newsticker/meldu...a-1782352.html

Christoph 12.01.2013 11:08
Zitat:
Firefox deaktiviert alle Java-Plugins

Mozilla hat angekündigt, dass der Firefox-Browser bis auf weiteres alle Versionen des Java-Plugins blockieren wird. Grund ist eine Sicherheitslücke, die die Systeme der Nutzer kompromittieren könnte.

Da alle Versionen des Java-Plugins - auch das aktuelle Java 7 Update 10 - von einem Sicherheitsproblem betroffen sein sollen, will sie das Mozilla-Team erst einmal in allen Firefox-Browsern ab Version 17 und aufwärts deaktivieren. Aktuell ist die Version 18. Auf einem Windows-Redaktionsrechner kam es bei einer Stichprobe noch zu keiner Java-Deaktivierung.

Komplett blockiert wird Java laut Mozilla-Blog im Firefox jedoch nicht . Das Plugin wird zwar automatisch deaktiviert, bei Besuch einer mit Java-Applet versehenen Webseite erhält der Nutzer jedoch die Möglichkeit, das Plugin für diese Sitzung oder komplett für diese Site wieder zu aktivieren. So arbeitet Google Chrome ebenfalls.

Mozilla rät dazu, die Plugin-Seite häufiger zu überprüfen, falls bald ein Update für das Java-Plugin erscheinen sollte.
Quelle: http://www.golem.de/news/browser-sic...301-96886.html

Christoph 14.01.2013 08:15
Zitat:
Oracle liefert Patch für Java 7 aus
Die schwere Sicherheitslücke in Java ist damit geschlossen. Oracle hebt gleichzeitig auch die Voreinstellungen für die Sicherheitsstufe, die nun auf "Hoch" statt "Mittel" steht. Dadurch muss der Nutzer nun die Ausführung aller unsignierten Java Applets und auf Java basierenden Webprogramme bestätigen.

Der Software-Konzern Oracle hat auf die in der Vorwoche entdeckte schwere Sicherheitslücke in Java 7 reagiert und am Montag einen Patch hierfür veröffentlicht. Das Update 11 schließt die vom US-CERT (Computer Emergency Readiness Team) entdeckte Sicherheitslücke und hebt die ansonsten auf "Mittel" gesetzte Sicherheitsstufe in den Sicherheitseinstellungen auf "Hoch". Dadurch wird der Nutzer immer vor dem Ausführen eines unsignierten Java Applets oder anderen auf Java basierenden Webprogrammen gefragt. Das soll das Ausführen von schädlichem Code im Hintergrund verhindern.

Mangelhafte Fehlerbehebung
Die Sicherheitslücke hatte nach ihrer Entdeckung große Wellen geschlagen, Apple und Mozilla haben Java 7 kurzerhand geblockt. Laut Security Explorations, einem Unternehmen für Softwaresicherheit, sei die Lücke allerdings auf einen schweren Fehler von Oracle zurückzuführen. Diese hatten bereits im Oktober eine andere Lücke geschlossen, dabei allerdings nicht sehr gründlich gearbeitet und dabei die Tür für die neue Softwarelücke geöffnet.
Quelle: http://futurezone.at/digitallife/134...java-7-aus.php

TheltAlpha 14.01.2013 17:52
Es scheint leider trotzdem noch immer nicht ausgestanden zu sein:

Zitat:
Schwere Sicherheitslücke: Update hilft angeblich nicht
Der polnische Sicherheitsexperte Adam Gowdiak, der oft Lecks in Oracle-Software aufspürt, sagt, dass das Oracle-Update mehrere Sicherheitslecks offen lässt, schreibt Reuters. Er würde trotz Update nicht empfehlen, Java zu aktivieren.
Quelle: http://diepresse.com/home/techscienc...m=gl.home_tech

Christoph 14.01.2013 19:50
Hab ich auch gelesen, nicht sehr beruhigend. :look:

Halbwegs brauchbar ist, daß die Sicherheitseinstellung erhöht wurden und gefragt wird ob Java ausgeführt werden darf; unbedarfte User werden dennoch auf Ja klicken.

Christoph 15.01.2013 09:50
Zitat:
US-Heimatschutz warnt weiter vor Java-Lücke
Die zum US-Software-Unternehmen gehörige Java-Technologie, die auf einem Großteil der Computer weltweit installiert ist, beunruhigt seit Tagen wegen einer schweren Sicherheitslücke. Doch auch nach einem Patch durch den Hersteller rät das US-Heimatschutzministerium zu einer Deinstallation.

Das U.S. Department of Homeland Security warnt Nutzer weiterhin davor, Java im Browser zu nutzen, und rät zur Deinstallation. Ein Angreifer könnte sich nach wie vor aus der Ferne Zugriff auf einen Computer verschaffen, wenn mit dessen Browser eine präparierte Webseite besucht wird.

Wie in einer Online-Nachricht des CERT der US-Behörde zu lesen ist, solle man Java nur in ganz dringenden Fällen nutzen, auch nachdem man auf die Version Java 7u11 upgedatet hat. Das Update hätte zwar eine Lücke geschlossen, eine andere für potenzielle Angreifer jedoch offen gelassen.

Java ist eine Technologie, die bei Web-Anwendungen, Desktop-Anwendungen oder Smartphone-Apps zum Einsatz kommt. Java steht seit Jahren in der Kritik von Sicherheitsexperten, die immer wieder auf Sicherheitslücken in der Software aufmerksam machen.
Quelle: http://futurezone.at/digitallife/134...ava-luecke.php

Christoph 16.01.2013 12:31
Zitat:
Oracles Januar-Patches schließen 86 Lücken

Wie angekündigt, hat Oracle am gestrigen Dienstag sein erstes Critical Patch Update 2013 veröffentlicht. Die Sammlung enthält 86 Korrekturen für Sicherheitslücken, von denen die gravierendsten den Höchstwert 10 des Common Vulnerability Scoring System (CVSS) erreichen.

Diese beiden Lücken (CVE-2013-0361, CVE-2013-0366) finden sich in Oracle Mobile Server, der früher Oracle Lite 10g hieß. Sie ermöglichen es einem nicht authentifizierten Angreifer über das Netz volle Kontrolle über das System zu erlangen. Drei weitere Schwachstellen (CVE-2013-0362, CVE-2013-0363, CVE-2013-0364) eröffnen ohne Anmeldung Remote-Zugriff auf die Daten des Servers. Betroffen sind die Mobile-Server-Versionen 10 und 11.

In Oracles Datenbank-Modul Spatial wurde ebenfalls eine Lücke (CVE-2012-3220) geschlossen, die dem Angreifer auf Windows-Systemen vollen Zugriff auf das System gewährte. Dazu muss er jedoch beim Datenbankserver angemeldet sein und das Privileg CREATE TABLE besitzen.

Die meisten Fehler behebt Oracle in der freien Datenbank MySQL: Dort schließt es 18 Lücken. Zwei davon sind Speicherfehler (CVE-2012-5612, CVE-2012-5611), die ein angemeldeter Benutzer ausnutzen konnte, um den Server abstürzen zu lassen oder beliebigen Code auszuführen. Im freien MySQL-Clone MariaDB wurden diese Bug bereits Anfang Dezember 2012 behoben. Vor zwei Wochen hatte Oracle die MySQL-Versionen 5.1.67 und 5.5.29 veröffentlichen, die den Fehler ebenfalls korrigieren.

Weitere Schwerpunkte dieser Patch-Sammlung sind Enterprise Manager Grid Control (13), PeopleSoft PeopleTools (12 Patches), Siebel CRM (10), Fusion (9) und Solaris (8). Für einen Bug in Fusion (CVE-2012-0022) hat sich Oracle fast ein Jahr Zeit gelassen: Veröffentlicht wurde der Fehler in Apaches Applicationserver Tomcat am 17.1.2012. Die Apache-Entwickler hatten bereits im November 2011 eine korrigierte Version freigegeben. (ck)
Quelle: http://www.heise.de/newsticker/meldu...n-1784435.html

Christoph 17.01.2013 11:33
Zitat:
Angeblich neue Zero-Day-Sicherheitslücke in Java

Nur 24 Stunden nachdem Oracle eine gefährliche Sicherheitslücke mit dem Update auf Java 7u11 gepatcht hat, behauptet ein Krimineller laut "Krebs on Security", dass es eine weitere Zero-Day-Lücke gibt, die er bereits in einschlägigen Foren verkauft hat. Wie Brian Krebs schreibt, wurde der Exploit mit der neuen Lücke für mindestens 5.000 US-Dollar pro Kopf an zwei Interessierte verkauft. Der Verkäufer amüsierte sich darüber, dass Oracle "schon wieder versagt" hat.

Schon kurz nach Oracles Update Anfang dieser Woche beanstandeten Sicherheitsforscher Adam Godwiak und Sicherheitsforscher von Immunity die Patch- und Updatepraxis des Unternehmens. Immunity stellte sogar heraus, dass Oracle nicht – wie angegeben – zwei, sondern nur eine kritische Sicherheitslücke mit Java 7u11 stopfte. Wenn ein neuer Zero-Day auftauchen würde, könnten Kriminelle ihre bereits genutzten Exploit-Kits reaktivieren. Das US-CERT nahm diese Erkenntnisse zum Anlass, weiterhin vor dem Java Browser-Plugin zu warnen. Das Bundesamt für Sicherheit in der Informationstechnik gab hingegen Entwarnung.

Brian Krebs gibt an, dass er über seine kritische Berichterstattung zu Oracle mit einigen Lesern über Twitter in Streit geriet, aber an seiner Meinung festhalte: Das Unternehmen scheine sich nicht bewusst zu sein, dass seine Software "auf Hunderten von Millionen Computern" verbreitet ist. Und mit seinem Service "scheint Oracle eine Nachricht zu verbreiten: Oracle möchte keine Hunderte von Millionen Kunden - und diese sollten bei dieser Nachricht aufhorchen und dementsprechend reagieren." (kbe)
Quelle: http://www.heise.de/newsticker/meldu...a-1785609.html

Baron 17.01.2013 16:30
Beachtlich!
Die Schlussfolgerung vom Herrn Krebs wird oracle aber kalt lassen - hunderte Millionen nix zahlender Kunden weniger täten mich auch nicht interessieren- die können dann eben hunderte Millionen Webseiten nicht mehr öffnen.
Das ist halt "die krux" mit de-facto Standards!

Christoph 17.01.2013 18:00
Dann schreib doch Du ein Mail an Oracle, von einem Adeligen wird´s sicher eher zur Kenntnis genommen. :utoh:

Christoph 20.01.2013 17:10
Zitat:
Mindestens zwei Sicherheitslücken in aktueller Java-Version

Java SE 7 Update 11 ist anfällig für mindestens zwei Sicherheitslücken. Angreifer können darüber beliebigen Schadcode ausführen und ein fremdes System unter ihre Kontrolle bringen. Einen Patch gibt es bislang nicht.

Das Anfang der Woche von Oracle veröffentlichte Java SE 7 Update 11 hat weiterhin mindestens zwei Sicherheitslücken. Mit dem Update 11 sollte eine Zero-Day-Lücke geschlossen werden, die einige Tage zuvor bekanntwurde. Der Sicherheitsexperte Adam Gowdiak berichtet nun von zwei Sicherheitslöchern in der aktuellen Java-Version. Bereits seit Ende vergangener Woche ist neuer Exploit-Code für die aktuelle Java-Version im Umlauf. Derzeit ist nicht bekannt, ob der in Umlauf befindliche Exploit-Code eine dritte Sicherheitslücke oder aber die beiden von Gowdiak entdeckten Fehler ausnutzt.
Java-Applet kann Sandbox verlassen

Mit den von Gowdiak bemerkten Sicherheitslöchern in Java SE 7 Update 11 kann ein Java-Applet die Sandbox komplett verlassen und so außerhalb davon beliebigen Programmcode ausführen. Mit dem Update 11 wurde eine neue Sicherheitsfunktion in Java SE 7 integriert. Damit werden unsignierte oder selbst signierte Applets nur noch ausgeführt, wenn der Nutzer dem zuvor zugestimmt hat, erklärte Gowdiak Ars Technica. Das gelte auch für die von ihm gefundenen Sicherheitslücken, so dass eine automatische Ausführung von Schadcode nicht möglich sei.

Allerdings dürfte es für Angreifer ein Leichtes sein, Opfer mittels Social Engineering dazu zu bewegen, den Sicherheitsdialog zu bestätigen und den Schadcode damit auf den Rechner zu lassen, meint Gowdiak. Zudem könnte die Sicherheitsabfrage umgangen werden, indem Angreifer gültige Zertifikate stehlen, so dass das Applet als offiziell signiert gilt. Bisher gibt es von Oracle kein Java-Update, das diese Fehler beseitigt. Ob Oracle wieder einen Patch in den nächsten Tagen veröffentlichen wird, ist nicht bekannt. Das kommende reguläre Java-Update ist für den 19. Februar 2013 angesetzt.

Kürzlich hatten diverse staatliche Institutionen vor dem Einsatz von Java gewarnt und zur Deinstallation geraten, dazu zählte auch das Bundesamt für Sicherheit in der Informationstechnik.

Ganz ohne Java geht es in der Onlinewelt nicht überall. Einige Webseiten setzen Java zwingend voraus, so dass eine Deinstallation von Java keine Lösung ist, weil die betreffenden Webseiten dann nicht mehr verwendet werden können. Hier kann es helfen, nur die Java-Webseiten mit einem separaten Browser zu besuchen und nur in diesem die Ausführung von Java zu erlauben. In dem regulären Browser kann Java dann deaktiviert werden, so dass ein Angriff durch Java-Sicherheitslücken unwahrscheinlicher wird. Wer hingegen keine Webseiten besucht, die Java benötigen, kann es ganz deinstallieren.
Quelle: http://www.golem.de/news/security-mi...301-97019.html

Ein wahrlich gutes Update. :utoh:

Thiersee 20.01.2013 19:12
Loch auf, Loch zu
 
In dieser ganzen Geschichte, verstehe ich eines aber nicht: es gibt

1) Java-Umgebung (JRE)
2) Java-PlugIn (Firefox)
3) Java-Script

Wie hängen die drei eigentlich zusammen?

Das Log-In der österreichischen Sparkassen und der EasyBank braucht umbedingt Java Script, aber anscheinend nicht unbedingt die Java-Umgebung und einen aktivierten Java-PlugIn in Firefox (hatte testweise Java deinstalliert);
die Bürgerkarten-Software Mocca (LogIn mit Signature-Karte über ecard) braucht die Java-Umgebung, sonst startet überhaupt nicht; die a.sign-Software (a-Trust erstellt die Zertifikate für die ecard) braucht Java überhaupt nicht, die maximale PIN-Länge ist aber auf 6 Zeichen beschränkt (Mocca: 12).

Wie kann man dann Online-Banking ohne Java vernünftig betreiben?

MfG, Thiersee

Christoph 20.01.2013 19:52
Die Unterschiede kann ich Dir zwar nicht erklären, bei funzt der Zugriff auf die Sparkassenseite in Netbanking ohne Deployment Toolkit, Java Platform und Console mit FF.

Thiersee 20.01.2013 20:06
Zitat:
Zitat von Christoph (Beitrag 2483061)
Die Unterschiede kann ich Dir zwar nicht erklären, bei funzt der Zugriff auf die Sparkassenseite in Netbanking ohne Deployment Toolkit, Java Platform und Console mit FF.
Daß es funktioniert, weiß ich (ist vielleicht aus meinem Beitrag nicht herausgekommen).

Meine Frage zielte vielmehr auf folgendem Umstand drauf:

Wenn JAVA (und PlugIN) deinstalliert ist, wie kann JavaScript vorhanden und aktiv sein?

MfG, Thiersee

Christoph 20.01.2013 20:22
Vielleicht hilft Dir das weiter:
http://www.itrig.de/index.php?/archi...avaScript.html
http://de.wikipedia.org/wiki/Java_Plug-in

Thiersee 20.01.2013 22:04
Zitat:
Zitat von Christoph (Beitrag 2483065)
Doch, es hilft mir!
Jetzt weiß ich, daß Java und Java-Script zwei getrennte Sachen sind.

An der Sache, daß Java für die Bürgerkarte-Umgebung MOCCA notwendig ist, steht natürlich auf einem anderen Blatt.

Übrigens, MOCCA wird vom Bundeskanzleramt empfohlen...

MfG, Thiersee

Baron 21.01.2013 18:18
Zitat:
Zitat von Thiersee (Beitrag 2483068)
Übrigens, MOCCA wird vom Bundeskanzleramt empfohlen...
So wie bis gestern auch das Berufsheer!:D
Scheint beides kompatibel zu sein...:rolleyes:

TheltAlpha 21.01.2013 18:49
Zitat:
Zitat von Baron (Beitrag 2483090)
So wie bis gestern auch das Berufsheer!:D
Scheint beides kompatibel zu sein...:rolleyes:
Des war ausnahmsweise sogar einmal lustig. :D

Baron 21.01.2013 19:00
Wobei auch zutreffend -unsere "Regierungsspitze" zeichnet sich eben durch Ahnungslosigkeit aus!:D

Christoph 21.01.2013 20:21
Und was hat das mit IT-Sicherheit zu tun?????

Zurück zum Thema!!!!


Alle Zeitangaben in WEZ +2. Es ist jetzt 20:55 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag