Wieder kritische Lücke in aktueller Java-Version 7 Update 10

[pc.net]

Zitat:

In der aktuellen Java-Version 7 Update 10 klafft eine kritische Sicherheitslücke, die offenbar bereits im großen Stil für Cyber-Angriffe ausgenutzt wird. Wer Java auf seinem Rechner installiert hat, sollte das Java-Plug-in im Browser umgehend deaktivieren.

...

-> weiterlesen

[Christoph]

Zitat:

Update vom 10.01.2013, 17:15: Der Malware-Forscher kafeine hat in seinem Blog ein ZIP-Archiv veröffentlicht, das den Angriffscode enthalten soll. (rei)

Quelle siehe oben.

[Christoph]

Zitat:

BSI empfiehlt Deinstallation von Java

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor der gefährlichen Schwachstelle in der aktuellen Java-Version, die bereits zur Verbreitung von Schädlingen missbraucht wird. Das BSI rät, Java vollständig zu deinstallieren, bis ein Patch verfügbar ist. Ansonsten soll man zumindest die Plug-ins der Browser abschalten.

Wer die Warnung ignoriert und weiterhin mit aktivem Java im Netz unterwegs ist, handelt fahrlässig, denn der Angriffscode kann überall lauern. Immer wieder werden auch seriöse Webseiten nach Hackerangriffen als Virenschleuder missbraucht. Um Opfer einer Malware-Infektion zu werden, muss man die manipulierte Webseite lediglich aufrufen.

Bei einer Analyse eines Angriffs stellte sich heraus, dass die Schwachstelle bereits dafür genutzt wird, um die spanische Ausgabe des BKA-Trojaners zu verbreiten. Man muss fest damit rechnen, dass ähnliche Attacken auch bereits gegen deutsche Nutzer gefahren werden. In prominenten Exploit-Kits wie Black Hole ist ein passendes Angriffsmodul bereits enthalten. Oracle hat sich bislang nicht dazu geäußert, ob und wann ein Patch verfügbar sein wird.

Quelle: http://www.heise.de/newsticker/meldu...a-1782352.html

[Christoph]

Zitat:

Firefox deaktiviert alle Java-Plugins

Mozilla hat angekündigt, dass der Firefox-Browser bis auf weiteres alle Versionen des Java-Plugins blockieren wird. Grund ist eine Sicherheitslücke, die die Systeme der Nutzer kompromittieren könnte.

Da alle Versionen des Java-Plugins - auch das aktuelle Java 7 Update 10 - von einem Sicherheitsproblem betroffen sein sollen, will sie das Mozilla-Team erst einmal in allen Firefox-Browsern ab Version 17 und aufwärts deaktivieren. Aktuell ist die Version 18. Auf einem Windows-Redaktionsrechner kam es bei einer Stichprobe noch zu keiner Java-Deaktivierung.

Komplett blockiert wird Java laut Mozilla-Blog im Firefox jedoch nicht . Das Plugin wird zwar automatisch deaktiviert, bei Besuch einer mit Java-Applet versehenen Webseite erhält der Nutzer jedoch die Möglichkeit, das Plugin für diese Sitzung oder komplett für diese Site wieder zu aktivieren. So arbeitet Google Chrome ebenfalls.

Mozilla rät dazu, die Plugin-Seite häufiger zu überprüfen, falls bald ein Update für das Java-Plugin erscheinen sollte.

Quelle: http://www.golem.de/news/browser-sic...301-96886.html

[Christoph]

Zitat:

Oracle liefert Patch für Java 7 aus
Die schwere Sicherheitslücke in Java ist damit geschlossen. Oracle hebt gleichzeitig auch die Voreinstellungen für die Sicherheitsstufe, die nun auf "Hoch" statt "Mittel" steht. Dadurch muss der Nutzer nun die Ausführung aller unsignierten Java Applets und auf Java basierenden Webprogramme bestätigen.

Der Software-Konzern Oracle hat auf die in der Vorwoche entdeckte schwere Sicherheitslücke in Java 7 reagiert und am Montag einen Patch hierfür veröffentlicht. Das Update 11 schließt die vom US-CERT (Computer Emergency Readiness Team) entdeckte Sicherheitslücke und hebt die ansonsten auf "Mittel" gesetzte Sicherheitsstufe in den Sicherheitseinstellungen auf "Hoch". Dadurch wird der Nutzer immer vor dem Ausführen eines unsignierten Java Applets oder anderen auf Java basierenden Webprogrammen gefragt. Das soll das Ausführen von schädlichem Code im Hintergrund verhindern.

Mangelhafte Fehlerbehebung
Die Sicherheitslücke hatte nach ihrer Entdeckung große Wellen geschlagen, Apple und Mozilla haben Java 7 kurzerhand geblockt. Laut Security Explorations, einem Unternehmen für Softwaresicherheit, sei die Lücke allerdings auf einen schweren Fehler von Oracle zurückzuführen. Diese hatten bereits im Oktober eine andere Lücke geschlossen, dabei allerdings nicht sehr gründlich gearbeitet und dabei die Tür für die neue Softwarelücke geöffnet.

Quelle: http://futurezone.at/digitallife/134...java-7-aus.php

[TheltAlpha]

Es scheint leider trotzdem noch immer nicht ausgestanden zu sein:

Zitat:

Schwere Sicherheitslücke: Update hilft angeblich nicht
Der polnische Sicherheitsexperte Adam Gowdiak, der oft Lecks in Oracle-Software aufspürt, sagt, dass das Oracle-Update mehrere Sicherheitslecks offen lässt, schreibt Reuters. Er würde trotz Update nicht empfehlen, Java zu aktivieren.

Quelle: http://diepresse.com/home/techscienc...m=gl.home_tech

[Christoph]

Hab ich auch gelesen, nicht sehr beruhigend.

Halbwegs brauchbar ist, daß die Sicherheitseinstellung erhöht wurden und gefragt wird ob Java ausgeführt werden darf; unbedarfte User werden dennoch auf Ja klicken.

[Christoph]

Zitat:

US-Heimatschutz warnt weiter vor Java-Lücke
Die zum US-Software-Unternehmen gehörige Java-Technologie, die auf einem Großteil der Computer weltweit installiert ist, beunruhigt seit Tagen wegen einer schweren Sicherheitslücke. Doch auch nach einem Patch durch den Hersteller rät das US-Heimatschutzministerium zu einer Deinstallation.

Das U.S. Department of Homeland Security warnt Nutzer weiterhin davor, Java im Browser zu nutzen, und rät zur Deinstallation. Ein Angreifer könnte sich nach wie vor aus der Ferne Zugriff auf einen Computer verschaffen, wenn mit dessen Browser eine präparierte Webseite besucht wird.

Wie in einer Online-Nachricht des CERT der US-Behörde zu lesen ist, solle man Java nur in ganz dringenden Fällen nutzen, auch nachdem man auf die Version Java 7u11 upgedatet hat. Das Update hätte zwar eine Lücke geschlossen, eine andere für potenzielle Angreifer jedoch offen gelassen.

Java ist eine Technologie, die bei Web-Anwendungen, Desktop-Anwendungen oder Smartphone-Apps zum Einsatz kommt. Java steht seit Jahren in der Kritik von Sicherheitsexperten, die immer wieder auf Sicherheitslücken in der Software aufmerksam machen.

Quelle: http://futurezone.at/digitallife/134...ava-luecke.php

[Christoph]

Zitat:

Oracles Januar-Patches schließen 86 Lücken

Wie angekündigt, hat Oracle am gestrigen Dienstag sein erstes Critical Patch Update 2013 veröffentlicht. Die Sammlung enthält 86 Korrekturen für Sicherheitslücken, von denen die gravierendsten den Höchstwert 10 des Common Vulnerability Scoring System (CVSS) erreichen.

Diese beiden Lücken (CVE-2013-0361, CVE-2013-0366) finden sich in Oracle Mobile Server, der früher Oracle Lite 10g hieß. Sie ermöglichen es einem nicht authentifizierten Angreifer über das Netz volle Kontrolle über das System zu erlangen. Drei weitere Schwachstellen (CVE-2013-0362, CVE-2013-0363, CVE-2013-0364) eröffnen ohne Anmeldung Remote-Zugriff auf die Daten des Servers. Betroffen sind die Mobile-Server-Versionen 10 und 11.

In Oracles Datenbank-Modul Spatial wurde ebenfalls eine Lücke (CVE-2012-3220) geschlossen, die dem Angreifer auf Windows-Systemen vollen Zugriff auf das System gewährte. Dazu muss er jedoch beim Datenbankserver angemeldet sein und das Privileg CREATE TABLE besitzen.

Die meisten Fehler behebt Oracle in der freien Datenbank MySQL: Dort schließt es 18 Lücken. Zwei davon sind Speicherfehler (CVE-2012-5612, CVE-2012-5611), die ein angemeldeter Benutzer ausnutzen konnte, um den Server abstürzen zu lassen oder beliebigen Code auszuführen. Im freien MySQL-Clone MariaDB wurden diese Bug bereits Anfang Dezember 2012 behoben. Vor zwei Wochen hatte Oracle die MySQL-Versionen 5.1.67 und 5.5.29 veröffentlichen, die den Fehler ebenfalls korrigieren.

Weitere Schwerpunkte dieser Patch-Sammlung sind Enterprise Manager Grid Control (13), PeopleSoft PeopleTools (12 Patches), Siebel CRM (10), Fusion (9) und Solaris (8). Für einen Bug in Fusion (CVE-2012-0022) hat sich Oracle fast ein Jahr Zeit gelassen: Veröffentlicht wurde der Fehler in Apaches Applicationserver Tomcat am 17.1.2012. Die Apache-Entwickler hatten bereits im November 2011 eine korrigierte Version freigegeben. (ck)

Quelle: http://www.heise.de/newsticker/meldu...n-1784435.html

[Christoph]

Zitat:

Angeblich neue Zero-Day-Sicherheitslücke in Java

Nur 24 Stunden nachdem Oracle eine gefährliche Sicherheitslücke mit dem Update auf Java 7u11 gepatcht hat, behauptet ein Krimineller laut "Krebs on Security", dass es eine weitere Zero-Day-Lücke gibt, die er bereits in einschlägigen Foren verkauft hat. Wie Brian Krebs schreibt, wurde der Exploit mit der neuen Lücke für mindestens 5.000 US-Dollar pro Kopf an zwei Interessierte verkauft. Der Verkäufer amüsierte sich darüber, dass Oracle "schon wieder versagt" hat.

Schon kurz nach Oracles Update Anfang dieser Woche beanstandeten Sicherheitsforscher Adam Godwiak und Sicherheitsforscher von Immunity die Patch- und Updatepraxis des Unternehmens. Immunity stellte sogar heraus, dass Oracle nicht – wie angegeben – zwei, sondern nur eine kritische Sicherheitslücke mit Java 7u11 stopfte. Wenn ein neuer Zero-Day auftauchen würde, könnten Kriminelle ihre bereits genutzten Exploit-Kits reaktivieren. Das US-CERT nahm diese Erkenntnisse zum Anlass, weiterhin vor dem Java Browser-Plugin zu warnen. Das Bundesamt für Sicherheit in der Informationstechnik gab hingegen Entwarnung.

Brian Krebs gibt an, dass er über seine kritische Berichterstattung zu Oracle mit einigen Lesern über Twitter in Streit geriet, aber an seiner Meinung festhalte: Das Unternehmen scheine sich nicht bewusst zu sein, dass seine Software "auf Hunderten von Millionen Computern" verbreitet ist. Und mit seinem Service "scheint Oracle eine Nachricht zu verbreiten: Oracle möchte keine Hunderte von Millionen Kunden - und diese sollten bei dieser Nachricht aufhorchen und dementsprechend reagieren." (kbe)

Quelle: http://www.heise.de/newsticker/meldu...a-1785609.html