Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

News: Aktuelle Sicherheitslücke in Java gefährdet Alle.

Aktuelle Sicherheitslücke im Java-Plugin für Browser.

xafford / 32 Antworten / Baumansicht Nickles

Wie das BSI und das US-CERT derzeit meldet gibt es eine offene Lücke in allen aktuellen Browser-Plugins für Java, die dazu ausgenutzt werden kann um beim Besuch einer Seite mit Schadcode infiziert zu werden. Dabei ist es unerheblich, welches Betriebssystem genutzt wird um die Lücke auszunutzen. Zwar muss der Schadcode auf das jeweils genutzte Betriebssystem angepasst werden - was meist nur für die verbreitetsten System geschieht aufgrund des Verhältnisses zwischen Aufwand und Nutzen - prinzipiell ist jedoch jeder Browser, der das Plugin nutzt und jedes Betriebssystem dafür anfällig (auch wenn diese Lücke nicht das Betriebssystem betrifft, sondern nur das Java-Plugin).

Die Lücke wird - auch Dank bereits verfügbarem Demo-Exploit-Code bereits ausgenutzt. Da hierbei manipulierte Werbeschaltungen genutzt werden ist es auch sinnlos sich darauf zu verlassen, dass man eventuell nur vertrauenswürdige Seiten besucht. Da auch diese wahrscheinlich Elemente von anderen Seiten und Werbebanner einbinden kann auch über eine seriöse Seite eine Infektion verursacht werden, auf die der Seitenbetreiber keinen Einfluss hat.

Die einzige aktuelle Möglichkeit sich zu schützen besteht darin, das Java-Plugin in allen verwendeten Browsern zu deaktivieren, oder komplett zu deinstallieren. Anleitungen zum Deaktivieren des Plugins geben in der Regel die Browser-Hersteller. Die Seiten für die gängigsten Browser sind nachfolgend aufgeführt:Google Chrome


Es ist ratsam dies recht bald zu tun, da die Verbreitung und die Aktualität der Lücke ein gefundenes Fressen für Bösewichte ist und man annehmen kann, dass diese breit ausgenutzt wird um Rechner mit Malware zu infizieren und in Botnetze zu integrieren. Große Probleme sollte die Deaktivierung des Plugins in den seltensten Fällen verursachen und es kann auch in den meisten Browsern recht schnell temporär wieder aktiviert werden wenn es dringend gebraucht werden sollte.
xafford meint:

Wer heute noch den Leuten erzählt, dass der Besuch vertrauenswürdiger Seiten und "Brain X.0" ein sicherer Schutz im Internet sei handelt grob fahrlässig. Kein Mensch kann im heutigen Web noch abschätzen von wo überall Elemente einer Internet-Seite her kommen. Dabei muss es nicht einmal aktiver Inhalt wie JavaScript, Java oder Flash sein, oder PDF-Dateien. Auch Bilder, Sounds und sonstige Elemente können potenziell zu einem Risiko werden, da auch die Systemfunktionen oder Plugins die reinen Inhalt interpretieren Sicherheitslücken enthalten können.

Auch mit aktuellem Virenscanner, Informationen über aktuelle Lücken und größter Vorsicht ist man niemals zu 100% sicher, zumindest in dieser Hinsicht ist das Internet genau so wie das reale Leben, ein Restrisiko gibt es immer.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
cbuddeweg xafford „Aktuelle Sicherheitslücke im Java-Plugin für Browser.“
Optionen

Hallo Xaff,
Ich habe es mal aus der Originalquelle gelesen. Betroffen Oracle JRE 1.7.
Was ist mit 1.6 - wer es noch im Einsatz hat oder wie ich als Exot icedtea unter Linux als VM?

Gruß
cbuddeweg

Powered by Gentoo-Linux https://www.gentoo.org/
bei Antwort benachrichtigen
xafford cbuddeweg „Hallo Xaff, Ich habe es mal aus der Originalquelle gelesen....“
Optionen
Was ist mit 1.6 - wer es noch im Einsatz hat

Kann ich nicht mit Sicherheit sagen, aber verschiedene Quellen behaupten, dass auch ältere Versionen davon betroffen sind.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
celsius xafford „Kann ich nicht mit Sicherheit sagen, aber verschiedene...“
Optionen

Unter Windows 7 und Java 1.6 scheint der Exploit nicht zu funktionieren. Dagegen läuft er auf Windows 8 und Java 1.7 tadellos.

bei Antwort benachrichtigen
gelöscht_35042 xafford „Aktuelle Sicherheitslücke im Java-Plugin für Browser.“
Optionen

Nach der kompl. Deinstallation von Java nervt das System bei jedem booten mit diesem Hinweis:


Wie bekomme ich das weg?

Gruß

bei Antwort benachrichtigen
xafford gelöscht_35042 „Nach der kompl. Deinstallation von Java nervt das System bei...“
Optionen

Ich würde einmal darauf tippen, dass da noch der Java-Update-Dienst auf dem System ist (am Besten mal mit Autoruns danach suchen und deaktivieren).

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
gelöscht_35042 xafford „Ich würde einmal darauf tippen, dass da noch der...“
Optionen

Mit Autoruns absolut nichts zu finden. (2x alles durchsucht)

Ich habe es wieder installiert und unter dem FF Java deaktiviert. Jetzt ist Ruhe...

bei Antwort benachrichtigen
PeterP1 xafford „Aktuelle Sicherheitslücke im Java-Plugin für Browser.“
Optionen

Diese Seite bringt einige weitere Infos zu diesem Thema:

http://www.heise.de/security/meldung/BSI-warnt-vor-hochkritischer-Java-Luecke-1677249.html

Dort gibt es auch einen Link, wo man testen kann, ob das Deaktivieren von Java im Browser geklappt hat.

Zwei Dinge scheinen mir bemerkenswert:

  • Im Internet Explorer ist es offenbar schwierig bis unmöglich, die Sicherheitslücke zu schließen.
  • Oracle stellt sich tot.


Gruß
Peter

bei Antwort benachrichtigen
andy11 PeterP1 „Diese Seite bringt einige weitere Infos zu diesem...“
Optionen

Trotz Deaktivierung im Firefox-Browser, erhalte ich beim Test das Java aktiv sei.
Wie zuverlässig ist der Test? Andy

Nachtrag: Nach nochmaligen Aufruf zeigt der Test nun das erhoffte Ergebnis.

Alle Menschen sind klug ? die einen vorher, die anderen nachher. Voltaire
bei Antwort benachrichtigen
IRON67 PeterP1 „Diese Seite bringt einige weitere Infos zu diesem...“
Optionen
Im Internet Explorer ist es offenbar schwierig bis unmöglich, die Sicherheitslücke zu schließen.
Kann ich hier übrigens nicht bestätigen. Klappt einwandfrei.

@andy11:
Trotz Deaktivierung im Firefox-Browser, erhalte ich beim Test das Java aktiv sei.
Eventuell hast du das falsche deaktiviert. Java taucht in den Plugins zweimal auf, einmal als Java Deployment Toolkit und einmal als Java(™) Platform. Letztere ist zu deaktivieren.


Eine alternative Testseite ist diese hier:

http://www.java.com/de/download/testjava.jsp

Oracle stellt sich tot.
Naja, was solln sie auch groß tun? Man kann natürlich nur hoffen, dass an einem Update gearbeitet wird, aber wie bei jedem 0day-Exploit hat man erstmal die Arschkarte gezogen als Verantwortlicher.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
andy11 IRON67 „Kann ich hier übrigens nicht bestätigen. Klappt...“
Optionen

Ich hatte beides deaktiviert. Browserneustart und PC Neustart gemacht.
Deine Seite, naja, ein wenig witzig..... Es wurde kein Java gefunden usw. möchten sie es
installieren?
Erfüllt auch seinen Zweck. Danke Andy

Alle Menschen sind klug ? die einen vorher, die anderen nachher. Voltaire
bei Antwort benachrichtigen
IRON67 andy11 „Ich hatte beides deaktiviert. Browserneustart und PC Neustart...“
Optionen
Ich hatte beides deaktiviert. Browserneustart und PC Neustart gemacht.
Das ist schon etwas seltsam. Lässt du deinen Cache nicht beim Beenden des Browsers automatisch löschen?

Nebenbei: Seit ich vor Monaten Java defaultmäßig deaktivierte,musste ich noch NIE den Browser neustarten, um beim Reaktivieren und anschließenden Deaktivieren von Java (zu Testzwecken) den gewünschten Effekt zu erhalten. Das funktioniert (dank Preferences Toolbar mit einem Klick) immer von jetzt auf gleich.

Ein ähnliches Add-on zum schnellen (De-)Aktivieren von Plugins wäre QuickJava.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
andy11 IRON67 „Das ist schon etwas seltsam. Lässt du deinen Cache nicht...“
Optionen
Lässt du deinen Cache nicht beim Beenden des Browsers automatisch löschen?
Nein nicht.
Da meine DSL Leitung (384kbits) sehr lahm ist, behalte ich die Daten gerne. Einmal die Woche leere
ich den aber. Andy
Alle Menschen sind klug ? die einen vorher, die anderen nachher. Voltaire
bei Antwort benachrichtigen
BastetFurry xafford „Aktuelle Sicherheitslücke im Java-Plugin für Browser.“
Optionen

Wusste doch das ich ein Paket vergessen hatte...
Kein Java_Plugin_ installiert.

Übrigens wäre es mal interessant zu erfahren ob die Sicherheitslücke auch im IcedTea/OpenJDK vorhanden ist.

bei Antwort benachrichtigen
BastetFurry Nachtrag zu: „Wusste doch das ich ein Paket vergessen hatte... Kein...“
Optionen

So, kann mir das selber beantworten:
http://immunityproducts.blogspot.com.ar/2012/08/java-0day-analysis-cve-2012-4681.html

Affected Versions

The com.sun.beans.finder.MethodFinder and com.sun.beans.finder.ClassFinder classes are available only since JDK 7.
bei Antwort benachrichtigen
Andreas42 xafford „Aktuelle Sicherheitslücke im Java-Plugin für Browser.“
Optionen

Laut heise.de hat Oracle still und heimlich ein Update für Java veröffentlicht:

http://www.heise.de/newsticker/meldung/Oracle-reagiert-mit-Notfall-Update-auf-Java-Schwachstelle-1696086.html

Heise schreibt das zwar noch keine Beschreibung vorliegt, was geändert wurde, aber "ein erster Test von heise Security zeigte jedoch, dass der Exploit in seiner bekannten Form nach dem Update tatsächlich blockiert wird".

http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-verbose-1835710.html
Die Beschreibung scheint inzwischen da zu sein.

Bis dann
Andreas

Hier steht was ueber mein altes Hard- und Softwaregedoens.
bei Antwort benachrichtigen
Nevergrey Andreas42 „Laut heise.de hat Oracle still und heimlich ein Update für...“
Optionen

Yep, das Update schließt die Sicherheitslücke. (Relativ) schnell reagiert wurde immerhin.

bei Antwort benachrichtigen
IRON67 Nevergrey „Yep, das Update schließt die Sicherheitslücke. (Relativ)...“
Optionen
(Relativ) schnell reagiert wurde immerhin.
Nach VIER (!!) Monaten, jo...SEHR relativ.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
celsius Nevergrey „Yep, das Update schließt die Sicherheitslücke. (Relativ)...“
Optionen

Naja jetzt wo der Exploit öffentlich wurde, mussten sie doch eben ihre PCs anschmeißen und ein Update herausbringen. Denke mal, bei denen herrscht(e) das Prinzip Hoffnung...

bei Antwort benachrichtigen
Ralf103 xafford „Aktuelle Sicherheitslücke im Java-Plugin für Browser.“
Optionen

mein Firefox hat vor kurzem selbst darauf hingewiesen, dass das Java Add-on problematisch sein könnte und eine Deaktivierung empfohlen, gegen eine spätere Neuinstallation des Updates hatte er aber nichts, Problem gelöst?

bei Antwort benachrichtigen
torsten40 Ralf103 „mein Firefox hat vor kurzem selbst darauf hingewiesen, dass...“
Optionen
Problem gelöst?
Nö!
Das Problem ist erst gelöst, wenn die Einschüchterung erfolg hat, und du den RJ11 Stecker ziehst!
Freigeist
bei Antwort benachrichtigen
speedy27 torsten40 „Nö! Das Problem ist erst gelöst, wenn die Einschüchterung...“
Optionen

Von wegen Problem gelöst:

http://winfuture.de/news,71767.html

bei Antwort benachrichtigen
torsten40 speedy27 „Von wegen Problem gelöst: http://winfuture.de/news,71767.html“
Optionen

"Das Problem ist erst gelöst", ergo besteht es noch.

Freigeist
bei Antwort benachrichtigen
Ralf103 torsten40 „"Das Problem ist erst gelöst", ergo besteht es noch.“
Optionen

ist denn mit dem 7.7 Update die Sicherheitslücke geschlossen oder immer noch nicht oder gibt es noch ein spezielles Patch?

bei Antwort benachrichtigen
IRON67 Ralf103 „ist denn mit dem 7.7 Update die Sicherheitslücke geschlossen...“
Optionen

7 U 7 schließt EINE Lücke und reißt eine NEUE auf. Derzeit gibts dafür KEINEN Patch.

Wobei...reißt auf stimmt auch nicht ganz, denn auch DIE ist bereits länger bekannt. Wen wunderts? Mich nicht.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
celsius IRON67 „7 U 7 schließt EINE Lücke und reißt eine NEUE auf. Derzeit...“
Optionen

Beide Link führen aufs gleiche Ziel? Ich konnte dem Text nicht genau entnehmen, welche neue Lücke jetzt gefunden wurde. Ganz unten steht auch nur "update6 and previous versions".

bei Antwort benachrichtigen
IRON67 celsius „Beide Link führen aufs gleiche Ziel? Ich konnte dem Text...“
Optionen
Beide Link führen aufs gleiche Ziel?
Sorry. Falsch verlinkt. Das Update von 7 U 7 schließt EINE...
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
celsius IRON67 „Sorry. Falsch verlinkt. Das Update von 7 U 7 schließt EINE...“
Optionen

Also wenn ich das jetzt richtig verstanden habe haben Version 6 und 7 den selben Typ von Lücke, nämlich dass Code aus der Sandbox ausbrechen kann.

Übrigens steht da im Link wieder Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 7 Update 6 and earlier - manchmal habe ich den Verdacht, dass hier über die ein und selbe Lücke diskutiert wird.

Ich frage mich, wie die Hacker es diesmal geschafft haben, der Sandbox zu entkommen. Jedenfalls funktionierte der Exploit so nicht mehr in Version 7.

bei Antwort benachrichtigen
IRON67 celsius „Also wenn ich das jetzt richtig verstanden habe haben Version...“
Optionen
Ich frage mich, wie die Hacker es diesmal geschafft haben, der Sandbox zu entkommen.
http://immunityproducts.blogspot.de/2012/08/java-0day-analysis-cve-2012-4681.html

Das betrifft zumindest CVE-2012-4681.

Laut diesem Statement betrifft das nicht wie zu lesen nur 7 U 6, sondern explizit 7 U 7.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
celsius IRON67 „http://immunityproducts.blogspot.de/2012/08/java-0day-analys...“
Optionen
Laut diesem Statement betrifft das nicht wie zu lesen nur 7 U 6, sondern explizit 7 U 7.
OK, selber Exploit, anderer Code.
bei Antwort benachrichtigen
astro-astrid xafford „Aktuelle Sicherheitslücke im Java-Plugin für Browser.“
Optionen

Vielen, vielen Dank für die Warnung!!! Habe schon gedacht, mich schockt fast nichts mehr, aber das geht eindeutig zu weit.
Ohne die Mitteilung hier, hätten viele Leute- wie z.B.: ich, die "normale User" sind, gar nichts davon gewusst!!

Danke an Alle!!

Liebe Grüße
astrid

"You cannot change the past, look forward, or risk, beeing left behind"!
bei Antwort benachrichtigen
Ralf103 astro-astrid „Vielen, vielen Dank für die Warnung!!! Habe schon gedacht,...“
Optionen

Naja, das ging auch durch die normalen Medien, sogar in der Tagesschau und Tageszeitungen, aber Nickles war natürlich schneller, allerdings auch nicht der Erste.

bei Antwort benachrichtigen
IRON67 xafford „Aktuelle Sicherheitslücke im Java-Plugin für Browser.“
Optionen

Und gleich die nächste Lücke...

Laut Bugtraq bzw. Seclists.org wurde eine weitere JAVA-Lücke entdeckt, von der alle Entwicklungsstränge 5/6/7 betroffen sind.

Nur mal so am Rande...

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen