Sicherheitslücke in neuester Java-Version entdeckt

[Christoph]

Zitat:

Auch das bislang letzte Sicherheitsupdate für das Java Browser Plug-In auf die Version 7u15 hat die Software nicht abgedichtet. Das Unternehmen Security Explorations hat eine neue Schwachstelle entdeckt und Oracle mit einem Proof of Concept informiert. Gleichzeitig kursieren Exploits für die ältere Java-Version 7u11. Wer die letzten Updates verpasst hat, sollte sich beeilen und updaten oder besser: Java deinstallieren.

Adam Gowdiak, Geschäftsführer von Explorations, meldete Oracle die neuen Sicherheitslücken mit den Nummern 54 und 55 am 25. Februar. Werden beide Schwachstellen in Kombination ausgenutzt, kann die Java-Sandbox umgangen werden. Kriminelle könnten so Schadcode in Rechner einschleusen – wie bei Facebook, Apple und Microsoft geschehen. Wie Gowdiak gegenüber Softpedia kommentierte, würde dafür das "Reflection API auf sehr interessante Weise" ausgenutzt. Oracle antwortete Gowdiaks Unternehmen, dass es den Sicherheitsreport nachvollziehen könne und sich um das Problem kümmere.

Derweil meldet die Sicherheitsfirma Rapid7, dass nun ein Metasploit-Modul für Lücken in Java 7u11 im Netz kursiert und Exploits für Java 7u11 in Exploit Kits wie Cool EK und Popads integriert wurden. Diese klopfen die Systeme von Opfern, wie kürzlich bei dem Angriff auf Sparkasse.de, systematisch nach bekannten Sicherheitslücken ab. Wer also die letzten Updates noch nicht eingespielt hat, sollte dies schleunigst tun.

Alle, die genug von Hiobsbotschaften haben und das Plug-in eigentlich nicht benötigen, sollten Java deinstallieren. (kbe)

Quelle: http://www.heise.de/newsticker/meldu...t-1810763.html

Es geht munter weiter.

[zonediver]

...diese Figuren sind zu dämlich um die Fehler in ihren eigenen Produkten zu finden.
Was soll man von so einer "Nudel-Bude" halten???
Egal, hab den Dreck jetzt - wie angeraten - deinstalliert

[Thiersee]

Java 7 Update 17 ist heute erschienen.

http://www.computerbase.de/downloads...e-environment/

MfG, Thiersee

[Christoph]

Danke.

Und gleich mehr dazu:

Zitat:

Der nächste Notfallpatch für Java

Oracle hat ein weiteres Sicherheitsupdate für Java veröffentlicht und schließt damit zwei Sicherheitslücken, von denen eine seit vergangener Woche aktiv ausgenutzt wird. Allerdings weiß Oracle bereits seit 1. Februar von dem Problem.

Nachdem Ende vergangener Woche eine weitere Sicherheitslücke in Java bekanntwurde, die von Angreifern bereits aktiv ausgenutzt wird, hat Oracle jetzt eine korrigierte Java-Version veröffentlicht. Das wirkt, als hätte Oracle binnen weniger Tage auf das Problem reagiert, doch die Wahrheit ist: Oracle wurde nach eigenen Angaben bereits am 1. Februar 2013 über die Sicherheitslücken informiert. Das aber war zu spät, um die Korrekturen in das am 19. Februar 2013 veröffentlichte Sicherheitsupdate für Java aufzunehmen.

Betroffen von den Sicherheitslücken sind Java 7 bis einschließlich Update 15, Java 6 bis einschließlich Update 41 und Java 5 bis einschließlich Update 40. Nur für Java 7 stellt Oracle mit Java 7 Update 17 eine Korrektur zur Verfügung.

Java 7 Update 17 schließt zwei Sicherheitslücken (CVE-2013-1493 und CVE-2013-0809), die beide in der 2D-Komponente von Java SE stecken und nur Nutzer gefährden, die Java im Browser nutzen. Eigenständige Java-Applikationen sind nicht betroffen.

Eigentlich hatte Oracle geplant, die Korrektur für CVE-2013-1493 erst mit dem kommenden Critical Patch Update für Java SE auszuliefern, das am 16. April veröffentlicht werden soll. Nachdem die Sicherheitslücke aber bereits aktiv ausgenutzt wird, entschied sich Oracle zur Veröffentlichung des aktuellen Notfall-Updates. Oracle will damit auch deutlich machen, dass das Unternehmen gewillt ist, Sicherheitsupdates für Java früher zu veröffentlichen als in der Vergangenheit.

Oracle rät allen Java-Nutzern, das Update möglichst umgehend einzuspielen.

Quelle: http://www.golem.de/news/java-7-se-u...303-97975.html

[Christoph]

Zitat:

Signierter Java-Exploit umgeht neue Sicherheitseinstellung

Eigentlich soll die neue Standard-Sicherheitseinstellung von Java für mehr Sicherheit sorgen, da nur noch signierte Java-Programme im Browser ohne Sicherheitswarnung ausgeführt werden. Doch nun ist ein erster signierter Java-Exploit aufgetaucht.

Auf einer Website der TU Chemnitz ist ein korrekt signierter Java-Exploit aufgetaucht. Die Signatur sorge dafür, dass das Programm auch in der neuen Standardeinstellung "Hoch" ohne Sicherheitswarnung ausgeführt wird, berichten der Sicherheitsexperte Eric Romang und Malware Domain List.

Laut Romang wurde über eine Sicherheitslücke in OpenX eine mit dem Exploit-Kit g01pack infizierte Java-Datei auf die Seiten des Projekts Beolingus eingeschleust. Sie wurde korrekt mit einem Zertifikat der US-Firma Clearesult Consulting Inc signiert.

Die seit Java 7 Update 11 geltende Standard-Sicherheitseinstellung gibt aber nur bei unsignierten Java-Programmen eine Warnung aus. Wäre ein selbsterstelltes oder nicht vertrauenswürdiges Zertifikat verwendet worden, würde Java eine Warnmeldung ausgeben, so Romang. So taucht der übliche Dialog beim Start einer Java-Applikation auf.

Im konkreten Fall sei das Zertifikat mit einem gestohlenen privaten Schlüssel erstellt worden, der auf Pastebin zu finden ist und von Godaddy bereits zurückgerufen wurde, so Jindrich Kubec, der als Director of Threat Intelligence beim Antivirenhersteller Avast arbeitet. Der Schlüssel sei von dessen Aussteller Godaddy zwar mit Wirkung zum 7. Dezember 2012 zurückgerufen worden, der Rückruf erfolgte laut Sophos am 25. Februar 2013. Die erste entsprechende Malware tauchte aber erst am 28. Februar 2013 auf.

Allerdings, so wundert sich Kubec, ist in seiner Java-Konfiguration die Prüfung auf zurückgerufene Zertifikate deaktiviert, während selbstsignierten Apps erweiterte Rechte eingeräumt werden.

Quelle: http://www.golem.de/news/eric-romang...303-98025.html

Es geht munter weiter.

[Christoph]

Zitat:

Java pfuscht bei Zertifikatschecks

Beim Aufruf des Online-Wörterbuchs Beolingus der TU Chemnitz erschien eine Abfrage, ob der Anwender eine Java-Anwendung ausführen möchte. Das angebliche "Java ClearWeb Security Update" trug eine anscheinend gültige digitale Unterschrift der Firma CLEARESULT CONSULTING INC. Doch wer auf "Run" klickte, infizierte seinen Rechner mit Schad-Software, berichtet der Blogger Eric Romang.

Auf den Web-Seiten der TU Chemnitz war demnach eine Variante des g01pack-Exploit-Kits eingeschleust worden, das das Java-Applet aktivierte. Mit seiner digitalen Signatur durfte es die Java-Sandbox verlassen und aus dem Internet nachgeladene Programme auf dem Rechner des Anwenders installieren. Allerdings hatte der Herausgeber Godaddy das dafür verwendete Code-Signing-Zertifikat bereits ab dem 7.12.2012 gesperrt ("Cessation Of Operation"); vermutlich war wohl dem Eigentümer aufgefallen, dass der geheime Schlüssel zum Signieren von Code gestohlen worden war. Ein Programm, das das Zertifikat richtig überprüft – also auch die dort festgelegte Widerrufsliste vom CRL Distribution Point abholt und kontrolliert – hätte bemerken müssen, dass es dort als ungültig gelistet ist.

Aber wir reden hier von Oracle: Und die Herren über den Java-Code haben die Gültigkeitsprüfung von Zertifikaten zwar vorgesehen – aber nicht aktiviert. Weder die Kontrolle der Sperrlisten noch der Online-Check via OCSP sind in den Standardeinstellungen aktiv. Und das obwohl Oracle der digitalen Signatur eines Applets so hohen Stellenwert beimisst, dass es damit aus der Sandbox aussteigen und das System eines Anwenders beliebig manipulieren darf – was einem unsignierten Applet prinzipiell erstmal nicht möglich ist.

Diese Entdeckung riss den obersten Malware-Analysten des AV-Herstellers Avast Jindrich Kubec zu einem deftigen wtf hin. Es bleibt somit bei der Empfehlung: Wer es nicht unbedingt braucht, sollte Java komplett deinstallieren. Als Kompromiss kann man zumindest die Java-Einbindung im Browser deaktivieren beziehungsweise das von Firefox und Chrome angebotene Click-to-Play einsetzen, um wirklich benötigte Java-Applets von Hand zu starten. Auf die eingebauten Sicherheitsmechanismen von Java sollte man sich nicht verlassen. (ju)

Quelle: http://www.heise.de/newsticker/meldu...s-1817775.html