WCM - Das österreichische Computer Magazin Forenübersicht
 

Zurück   WCM Forum > Rat & Tat > IT-Security
Seite neu laden Sicherheitslücke in neuester Java-Version entdeckt
Registrieren Hilfe/Forumregeln Benutzerliste Kalender Heutige Beiträge

IT-Security Rat & Tat bei Fragen und Problemen zu Computer-, Netzwerk- und Daten-Sicherheit

Microsoft KARRIERECAMPUS

Antwort
 
Themen-Optionen Ansicht
Alt 07.03.2013, 08:09   #1
Christoph
Mod, bin gerne da
 
Benutzerbild von Christoph
 
Registriert seit: 09.11.1999
Ort: W, NÖ
Alter: 74
Beiträge: 13.646


Standard
Zitat:
Java pfuscht bei Zertifikatschecks

Beim Aufruf des Online-Wörterbuchs Beolingus der TU Chemnitz erschien eine Abfrage, ob der Anwender eine Java-Anwendung ausführen möchte. Das angebliche "Java ClearWeb Security Update" trug eine anscheinend gültige digitale Unterschrift der Firma CLEARESULT CONSULTING INC. Doch wer auf "Run" klickte, infizierte seinen Rechner mit Schad-Software, berichtet der Blogger Eric Romang.

Auf den Web-Seiten der TU Chemnitz war demnach eine Variante des g01pack-Exploit-Kits eingeschleust worden, das das Java-Applet aktivierte. Mit seiner digitalen Signatur durfte es die Java-Sandbox verlassen und aus dem Internet nachgeladene Programme auf dem Rechner des Anwenders installieren. Allerdings hatte der Herausgeber Godaddy das dafür verwendete Code-Signing-Zertifikat bereits ab dem 7.12.2012 gesperrt ("Cessation Of Operation"); vermutlich war wohl dem Eigentümer aufgefallen, dass der geheime Schlüssel zum Signieren von Code gestohlen worden war. Ein Programm, das das Zertifikat richtig überprüft – also auch die dort festgelegte Widerrufsliste vom CRL Distribution Point abholt und kontrolliert – hätte bemerken müssen, dass es dort als ungültig gelistet ist.

Aber wir reden hier von Oracle: Und die Herren über den Java-Code haben die Gültigkeitsprüfung von Zertifikaten zwar vorgesehen – aber nicht aktiviert. Weder die Kontrolle der Sperrlisten noch der Online-Check via OCSP sind in den Standardeinstellungen aktiv. Und das obwohl Oracle der digitalen Signatur eines Applets so hohen Stellenwert beimisst, dass es damit aus der Sandbox aussteigen und das System eines Anwenders beliebig manipulieren darf – was einem unsignierten Applet prinzipiell erstmal nicht möglich ist.

Diese Entdeckung riss den obersten Malware-Analysten des AV-Herstellers Avast Jindrich Kubec zu einem deftigen wtf hin. Es bleibt somit bei der Empfehlung: Wer es nicht unbedingt braucht, sollte Java komplett deinstallieren. Als Kompromiss kann man zumindest die Java-Einbindung im Browser deaktivieren beziehungsweise das von Firefox und Chrome angebotene Click-to-Play einsetzen, um wirklich benötigte Java-Applets von Hand zu starten. Auf die eingebauten Sicherheitsmechanismen von Java sollte man sich nicht verlassen. (ju)
Quelle: http://www.heise.de/newsticker/meldu...s-1817775.html
____________________________________
Liebe Grüße
Christoph

Ein Kluger bemerkt alles, ein Dummer macht über alles seine Bemerkungen.
(Heinrich Heine)
Christoph ist offline   Mit Zitat antworten
Antwort

« Vorheriges Thema | Nächstes Thema »

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Gehe zu


Alle Zeitangaben in WEZ +2. Es ist jetzt 00:42 Uhr.

Kontakt - WCM - Nach oben

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Forum SEO by Zoints
© 2009 FSL Verlag