Menü

Angriffsbaukästen Neue Java-Exploits und kein Ende in Sicht

Java und dessen Browser-Plugin JRE bleiben das bevorzugte Angriffsziel der Online-Kriminalität. Regelmäßig hält neuer Exploit-Code für weitere Java-Lücken Einzug in die gängigen Angriffsbaukästen.

Neue Java-Exploits und kein Ende in Sicht. © Microsoft
Java und dessen Browser-Plugin JRE bleiben das bevorzugte Angriffsziel der Online-Kriminalität. Regelmäßig hält neuer Exploit-Code für weitere Java-Lücken Einzug in die gängigen Angriffsbaukästen.

Sicherheitsforscher entdecken in manipulierten Web-Seiten immer wieder neue Versionen der bekannten Exploit-Kits (Angriffsbaukästen). Deren Programmierer integrieren geradezu regelmäßig neue Exploits für Java-Sicherheitslücken. Damit schleusen sie Malware per Drive-by-Download in die Rechner der Internet-Nutzer ein, die sie auf die präparierten Seiten locken.

Im bekannten Exploit-Kit "Black Hole " sowie in einem weiteren namens "Gong Da" ist kürzlich Exploit-Code für eine weitere Java-Schwachstelle (CVE-2012-5076) entdeckt worden. Damit ist es möglich mit dem eingeschleusten Code aus der Java-Sandbox auszubrechen und auf die Systemebene zuzugreifen. Erstmals entdeckt wurde dieser Exploit vor etwa zwei Wochen in dem Angriffsbaukasten "Cool Exploit Kit".

Laut einer Microsoft-Analyse der ausgenutzten Java-Lücke besteht der Ansatz in diesem Fall darin, unsignierten Java-Applets Zugriff auf an sich geschützte Java-Funktionen zu verschaffen. Diese erlauben Systemzugriffe aus der Sandbox heraus, die für unsignierte Applets eigentlich nicht erreichbar sein sollten.

Doch es gibt auch gute Nachrichten. Die bislang bekannten Angriffe zielen nur auf Java 7 bis Update 7. Mitte Oktober hat Oracle die betreffenden Lücken in Java 7 Update 9 geschlossen. Java 6 ist für den neuen Exploit nicht anfällig. Wohl auch deshalb enthalten die Angriffsbaukästen gleich ein ganzes Bündel verschiedener Java-Exploits. Wer jedoch eine aktuelle Java-Version einsetzt (Java 7 Update 9, Java 6 Update 37), ist im Moment relativ sicher.

Ratgeber: Die besten Windows-Sicherheits-Tipps

Doch Sicherheitsforscher haben bereits kurz nach der Bereitstellung dieser Versionen darauf hingewiesen, dass Oracle nicht alle an den Hersteller gemeldeten Sicherheitslücken behoben habe. Einige Schwachstellen könnten bis zum nächsten regulären Update-Termin am 19. Februar 2013 offen bleiben. Ein Java-Update außer der Reihe (wie Java 7 Update 7 Ende August) wird es nur geben, falls eine solche Lücke auf breiter Front für Angriffe ausgenutzt werden sollte.

Daher bleibt die beste Empfehlung weiterhin: wenn Sie Java nicht unbedingt brauchen, deinstallieren Sie es.

 
Anzeige
Anzeige
x