Werbung
Seit einigen Tagen ist eine schwerwiegende Sicherheitslücke in der aktuellen Java-Version bekannt. Das BSI empfiehlt sogar die Deinstallation des Plugins. Bei der betroffenen Version handelt es sich um die Java-Version 7 Update 10. Die betroffene Sicherheitslücke wird offenbar bereits von Angreifern genutzt. Sie macht es möglich Code in ein vollständig gepatchtes Windows-System mit Java 7 Update 10 einzuschleusen. Der inzwischen vollständig aufgedeckt und analysierte Exploit wird derzeit hauptsächlich dazu benutzt, um über das Java-Plugin Malware in das System einzuschleusen. Auch wenn wir derzeit erst Tag drei nach dem Bekanntwerden des Exploits zählen und sich damit die Anzahl der Seiten, welche den Exploit ausnutzen, noch in Grenzen hält, so ist damit zu rechnen, dass die Verbreitung bald rasant ansteigen wird. Grund dafür ist unter anderem ein fertig angepasstes Angriffsmodul für die Exploit-Kits Black Hole und Nuclear Pack.
Ihr als Nutzer sollten bis zum Update des Java-Plugins eben dieses deaktivieren. Dies könnt ihr meist über die Einstellungen eures Browsers (Firefox und Chrome) tun. Wer den Internet Explorer verwendet, der sollte Java komplett vom System entfernen und es über die Systemsteuerung/Software deinstallieren. Apple hat inzwischen ebenso wie Mozilla reagiert und deaktiviert das Java-Plugin aus der Ferne über einen Blacklisteintrag.
Update 1:
Oracle hat inzwischen die Java-Version 7 Update 11 veröffentlicht, welche die Sicherheitslücke schließt. Zudem wird das Sicherheitslevel für unsignierte Applikationen von mittel auf hoch gesetzt. Somit werden Web-Applikationen nur noch nach Bestätigung des Nutzers ausgeführt. Das Update ist direkt bei Java verfügbar.
Update 2:
Offenbar hat Oracle mit der Java-Version 7 Update 11 nur eine von zwei Lücken geschlossen. Wie KrebsOnSecurity nun berichtet, ist ein neuer Exploit aufgetaucht, der bereits exklusiv zu jeweils 5.000 US-Dollar verkauft wurde. Somit ist auch die Java-Version 7 Update 11 nicht gegen Angriffe dieser Art geschützt.
Update 3:
Ursprünglich hatte Oracle für den 19. Februar das nächste Update von Java vorgesehen, doch aufgrund der zahlreichen Exploits hat man dieses Update vorgezogen. Von den insgesamt 50 geschlossenen Sicherheitslücken stuft man selbst 26 als besonders schwerwiegend ein. Die Java-Version 7 wird auf Update 13 gebracht, Java 6 auf Update 39. Beide stehen für Windows, OS X und Linux direkt bei Oracle zum Download bereit. Die Installation wird bei Verwendung von Java als Browser-Plugin dringend empfohlen.