Kritische Lücke

Neue Java-Schwachstelle wird für Angriffe genutzt

In der aktuellen Java-Version 1.7.0_06 (Java 7 Update 6) ist eine Sicherheitslücke entdeckt und veröffentlicht worden, die bereits für gezielte Angriffe genutzt wird.

Java-Logo

© Oracle

Java-Logo

Sicherheitsforscher des Unternehmens DeepResearch haben Details über eine neue Schwachstelle in Java 7 veröffentlicht. Die Sicherheitslücke betrifft alle Versionen des aktuellen Java-Zweigs 1.7, einschließlich Java 7 Update 6 (1.7.0_06, 7u6). Der Versionszweig 1.6 (Java 6) ist nach bisherigen Erkenntnissen nicht anfällig. Die neue Lücke kann für so genannte Drive-by Downloads genutzt werden. Der Aufruf einer entsprechend präparierten Web-Seite mit einem Browser, in dem das Java Plug-in (JRE) aktiviert ist, genügt also, um das Herunterladen von Malware auszulösen.Betroffen sind prinzipiell alle Web-Browser, die über eine Plugin-Schnittstelle verfügen, unabhängig vom Betriebssystem (Windows, Mac OS X, Linux, ...). Dazu zählen unter anderem Internet Explorer, Firefox, Seamonkey, Chrome, Opera und Safari. Für das Metasploit Framework ist ein Modul mit funktionsfähigem Exploit-Code für diese Java-Lücke frei erhältlich. Das bedeutet, Jedermann einschließlich Online-Kriminelle kann dies als Vorlage für eigene Zwecke nutzen.

Ratgeber: Die bestenWindows-Sicherheits-Tipps

Bislang sind lediglich gezielte Angriffe bekannt, die diese Schwachstelle ausnutzen. Aufgrund der allgemeinen Verfügbarkeit eines Demo-Exploit ist jedoch davon auszugehen, dass auch diese Java-Lücke sehr bald Einzug in gängige Exploit-Kits der Online-Kriminalität halten wird. Der Java-Hersteller Oracle hat bislang keine Stellungnahme veröffentlicht und keine Updates außer der Reihe angekündigt. Turnusgemäß wäre das nächste Java-Update erst am 16. Oktober fällig.Den besten Schutz vor der Ausnutzung dieser und anderer Schwachstellen in Java bietet die komplette Deinstallation aller vorhandenen Java-Versionen. Eine Alternative besteht darin das Java Plug-in im Browser zu deaktivieren, bis ein Sicherheits-Update verfügbar ist. Im Internet Explorer und in Firefox erledigen Sie das über den Add-on Manager (IE: "Add-Ons verwalten", Firefox: "Add-ons"). Wer auf Java im Browser angewiesen ist, kann die aktuelle Version Java 6 Update 34 (1.6.0_34, 6u34) vom 15. August einsetzen, keinesfalls jedoch eine Version vor Java 6 Update 33. Eine weitere Möglichkeit wäre der Einsatz zweier Browser, wobei nur in einem Java aktiviert ist. Dieser Browser würde nur dann eingesetzt, wenn man eine bekannte sichere Website nutzen will, die Java zwingend erfordert.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…