Thema: Java ...

[SiLæncer]

In der Nacht zum heutigen Mittwoch hat Oracle das angekündigte Update zum erst vor drei Wochen außer der Reihe erschienenen "Critical Patch Update" veröffentlicht. Betroffen sind alle Java-Laufzeitumgebungen ab Version 1.4 bis zur aktuellen Version 7.

Dieses Update soll drei Lücken schließen, die Oracle der höchsten Gefährdungsstufe 10 zuordnet. Sie sind mit den CVE-Nummern 2013-1484, 2013-1486 und 2013-1487 gekennzeichnet und über das Netzwerk ohne Authentifizierung ausnutzbar. Betroffen sind Bibliotheken, Deployment-Komponenten und erneut JMX. Diese Java Management Extensions standen bereits in der Vergangenheit im Zentrum von Lücken, die der Sicherheitsforscher Adam Gowdiak aufdeckte.

Der ganze Artikel

Quelle : www.heise.de

[ritschibie]

Auch das bislang letzte Sicherheitsupdate für das Java Browser Plug-In auf die Version 7u15 hat die Software nicht abgedichtet. Das Unternehmen Security Explorations hat eine neue Schwachstelle entdeckt und Oracle mit einem Proof of Concept informiert. Gleichzeitig kursieren Exploits für die ältere Java-Version 7u11. Wer die letzten Updates verpasst hat, sollte sich beeilen und updaten oder besser: Java deinstallieren.

Adam Gowdiak, Geschäftsführer von Explorations, meldete Oracle die neuen Sicherheitslücken mit den Nummern 54 und 55 am 25. Februar. Werden beide Schwachstellen in Kombination ausgenutzt, kann die Java-Sandbox umgangen werden. Kriminelle könnten so Schadcode in Rechner einschleusen – wie bei Facebook, Apple und Microsoft geschehen. Wie Gowdiak gegenüber Softpedia kommentierte, würde dafür das "Reflection API auf sehr interessante Weise" ausgenutzt. Oracle antwortete Gowdiaks Unternehmen, dass es den Sicherheitsreport nachvollziehen könne und sich um das Problem kümmere.

Derweil meldet die Sicherheitsfirma Rapid7, dass nun ein Metasploit-Modul für Lücken in Java 7u11 im Netz kursiert und Exploits für Java 7u11 in Exploit Kits wie Cool EK und Popads integriert wurden. Diese klopfen die Systeme von Opfern, wie kürzlich bei dem Angriff auf Sparkasse.de, systematisch nach bekannten Sicherheitslücken ab. Wer also die letzten Updates noch nicht eingespielt hat, sollte dies schleunigst tun.

Alle, die genug von Hiobsbotschaften haben und das Plug-in eigentlich nicht benötigen, sollten Java deinstallieren.

Quelle: www.heise.de

[ritschibie]

Cyber-Kriminelle nutzen bislang unbekannte Schwachstellen in den aktuellen Java-Versionen zur Verbreitung von Malware aus, wie die Sicherheitsfirma FireEye berichtet. Durch die Lücke können die Angreifer auf den Speicher der Java Virtual Machine (JVM) zugreifen. Dort sucht der Exploit etwa nach dem Bereich, der festlegt, ob der SecurityManager aktiv ist und versucht diesen mit einer Null zu überschreiben. Der SecurityManager schirmt Systemzugriffe von Web-Applets ab. Nach dem Deaktivieren kann der Exploit ungehindert die nachgeladene Malware ausführen.

Laut FireEye ist der gesichtete Exploit nicht besonders zuverlässig, weil er große Datenblöcke im Speicher überschreiben will. Es dürfte aber nur eine Frage der Zeit sein, bis ihn die Ganoven weiter perfektioniert haben. Die Lücke klafft sowohl in der Java-Version 7 Update 15 als auch in Version 6 Update 41. Der 6er Versionszweig wird nicht mehr aktiv von Oracle gepflegt.

Schützen kann man sich, indem man Java komplett deinstalliert oder zumindest innerhalb der Browser abschaltet. Nützlich ist auch die Click-to-Play-Funktion von Firefox und Chrome, durch die man der Ausführung von Plug-ins zunächst explizit zustimmen muss. Unklar ist bislang noch, ob es sich um die gleichen Schwachstellen handelt, die der Sicherheitsforscher Adam Gowdiak vor kurzem entdeckt und an Oracle gemeldet hat

Quelle: www.heise.de

[ritschibie]

Oracle wusste seit 1. Februar 2013 von der
Sicherheitslücke. (Bild: Andreas Donath/Golem.de)

Oracle hat ein weiteres Sicherheitsupdate für Java veröffentlicht und schließt damit zwei Sicherheitslücken, von denen eine seit vergangener Woche aktiv ausgenutzt wird. Allerdings weiß Oracle bereits seit 1. Februar von dem Problem.

Nachdem Ende vergangener Woche eine weitere Sicherheitslücke in Java bekanntwurde, die von Angreifern bereits aktiv ausgenutzt wird, hat Oracle jetzt eine korrigierte Java-Version veröffentlicht. Das wirkt, als hätte Oracle binnen weniger Tage auf das Problem reagiert, doch die Wahrheit ist: Oracle wurde nach eigenen Angaben bereits am 1. Februar 2013 über die Sicherheitslücken informiert. Das aber war zu spät, um die Korrekturen in das am 19. Februar 2013 veröffentlichte Sicherheitsupdate für Java aufzunehmen.

Betroffen von den Sicherheitslücken sind Java 7 bis einschließlich Update 15, Java 6 bis einschließlich Update 41 und Java 5 bis einschließlich Update 40. Nur für Java 7 stellt Oracle mit Java 7 Update 17 eine Korrektur zur Verfügung.

Java 7 Update 17 schließt zwei Sicherheitslücken (CVE-2013-1493 und CVE-2013-0809), die beide in der 2D-Komponente von Java SE stecken und nur Nutzer gefährden, die Java im Browser nutzen. Eigenständige Java-Applikationen sind nicht betroffen.

Eigentlich hatte Oracle geplant, die Korrektur für CVE-2013-1493 erst mit dem kommenden Critical Patch Update für Java SE auszuliefern, das am 16. April veröffentlicht werden soll. Nachdem die Sicherheitslücke aber bereits aktiv ausgenutzt wird, entschied sich Oracle zur Veröffentlichung des aktuellen Notfall-Updates. Oracle will damit auch deutlich machen, dass das Unternehmen gewillt ist, Sicherheitsupdates für Java früher zu veröffentlichen als in der Vergangenheit.

Oracle rät allen Java-Nutzern, das Update möglichst umgehend einzuspielen.

Nachtrag vom 5. März 2013, 11:25 Uhr:

Trotz des Updates gibt es laut dem polnischen Sicherheitsspezialisten Adam Gowdiak weitere unveröffentlichte Sicherheitslücken in Java, die Oracle bekannt sind, in Java 7 Update 17 aber nicht korrigiert wurden.

Quelle: www.golem.de
 

[SiLæncer]

Beim Aufruf des Online-Wörterbuchs Beolingus der TU Chemnitz erschien eine Abfrage, ob der Anwender eine Java-Anwendung ausführen möchte. Das angebliche "Java ClearWeb Security Update" trug eine anscheinend gültige digitale Unterschrift der Firma CLEARESULT CONSULTING INC. Doch wer auf "Run" klickte, infizierte seinen Rechner mit Schad-Software, berichtet der Blogger Eric Romang.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Das heute veröffentlichte Java 7 Update 21 schließt 42 kritische Sicherheitslücken und erhöht die Abfragen, wenn Java-Code auf angesteuerten Webseiten ausgeführt werden soll.

Mit Java 7 Update 21 hat Oracle nach eigenen Angaben 42 kritische Sicherheitslücken Java geschlossen. Das Update wird am heutigen 16. April 2013 im Rahmen der vierteljährlichen Patch-Reihe veröffentlicht. Oracle hat zusätzlich weitere Sicherheitsabfragen in Java integriert, die den Anwender warnen sollen, wenn er Webseiten ansteuert, die Java-Code ausführen wollen. In einigen Fällen muss der Anwender das Ausführen des Codes bestätigen.

Der ganze Artikel

Quelle : www.golem.de

[SiLæncer]

Oracles steter Mahner in Sachen Security, der polnische Sicherheitsforscher Adam Gowdiak, hat nach eigenen Aussagen dem Java-Hersteller eine neue Schwachstelle gemeldet – Nummer 61 nach seiner Zählung. Betroffen ist die aktuelle Java Standard Edition 7, einschließlich der soeben erst veröffentlichten Version.

Der ganze Artikel

Quelle : www.heise.de

[ritschibie]

Der Interessenverbund der deutschsprachigen Java User Groups (iJUG) hat die Maßnahmen für ein sichereres Java begrüßt, die Oracle im Mitte April erschienenen Java 7 Update 21 vorgenommen hatte. Bei diesem muss man Applets signieren, damit sie keinen Alarm auslösen; unsignierte Applets werden nur noch nach ausdrücklicher Bestätigung durch den Benutzer ausgeführt. Das hatte jüngst CERT/CC-Entwickler auf den Plan gerufen, die zum Nichtsignieren der Applets aufforderten, da die Erlaubnis, ein Java-Applet auszuführen, gleichzeitig bedeute, den unbeschränkten Zugriff auf das System aus der Hand zu geben.

Der ganze Artikel

Quelle: www.heise.de

[SiLæncer]

Oracle hat angekündigt, am 18. Juni ein Update für die Java-SE-Versionen 5, 6 und 7 sowie für JavaFX 2.2 zu veröffentlichen. Es soll 40 Lücken in der Client-Software schließen, von denen 37 remote und ohne Authentifizierung zu nutzen sind. Darunter befinden sich auch Schwachstellen der höchsten Gefährdungsstufe 10.

Dies soll das letzte Java-Update außerhalb des Oracle-üblichen dreimonatlichen Patch-Cyklus sein. Ab Oktober will der Hersteller die Patches dafür zusammen mit denen für alle anderen Produkte veröffentlicht. Allerdings musste er in diesem Jahr bereits mehrfach Java-Updates außerhalb der Reihe herausgeben, um Zero-Day-Lücken zu schließen.

Quelle : www.heise.de

[SiLæncer]

Sicherheitsexperten haben Schadsoftware entdeckt, die eine vor Monaten geschlossene Java-Lücke ausnutzt, um ein Botnetz aufzubauen. Das Programm läuft auf Windows, Linux und Mac OS X; Abhilfe ist einfach möglich.

Anton Ivanov von der IT-Sicherheitsfirma Kaspersky berichtet von einem Exploit der Java-Lücke CVE-2013-2465, die Oracle bereits im Juni 2013 geschlossen hat. Betroffen sind Nutzer der Java-Versionen 5 und 6 ohne kommerziellen Support sowie der Version 7, die noch Release 21 oder früher verwenden.

Laut Ivanov installiert sich die Angreifersoftware unter Linux, Mac OS X und Windows im Heimatverzeichnis des Anwenders und stellt sicher, dass sie beim Hochfahren des Systems gestartet wird. Unklar bleibt in der Beschreibung, wie das unter Linux ohne Root-Rechte funktionieren soll. Zur Kommunikation mit dem Steuerrechner des Botnetzes nutzt die Software das Chatprotokoll IRC.

Darüber werden die für eine DDoS-Attacke (Distributed Denial of Service) nötigen Informationen gesendet, unter anderem die IP-Adresse und Portnummer des anzugreifenden Rechners sowie die Dauer des Angriffs. Ivanov zufolge hat Kaspersky in der analysierten Software Code für eine DDoS-Attacke auf einen Versender von Massenmails entdeckt.

Auch die IT-Sicherheitsfirma Symantec warnt vor der Lücke, deren Hintergründe sie etwas genauer beschreibt. Als Schutz dagegen reicht der Umstieg auf eine aktuelle Version von Java 7 aus, die Oracle für viele Betriebssysteme kostenlos bereitstellt. Mac-Anwender bekommen auch für das ältere Java 6 noch eine korrigierte Version für OS X 10.6 sowie 10.7 und später bei Apple.

Quelle und weiterführende Links : www.heise.de

[SiLæncer]

Wer Lücken in Oracle-Software findet, sollte sie wohl lieber nicht dem Hersteller melden. Sonst droht Ärger mit Oracles Rechtsanwälten.

Der Software-Riese Oracle ist im Security-Bereich vor allem für das institutionalisierte Sicherheitsloch Java und seine Monster-Patchdays bekannt, bei denen erst letzten Monat 193 Sicherheitslücken auf einen Schlag gestopft wurden. Chief Security Officer Mary Ann Davidson erklärte jetzt in einem länglichen Blog-Beitrag, dass man besser keine Sicherheitslücken in Oracle-Produkten suchen sollte:

"Wenn Sie versuchen, den Code in eine andere Form zu bringen, als wir ihn ausliefern – also etwa in die Form, in der wir in geschrieben haben [...], dann betreiben Sie wahrscheinlich Reverse Egeneering. Tun Sie das nicht – lassen sie es."

Denn Oracles Nutzungsbedingungen verbieten das Reverse Engeneering, um die Eigentumsrechte des Herstellers zu schützen. Wer auf diesem Weg Sicherheitslücken entdeckt und bei Oracle meldet, muss demnach mit harschen Schreiben von Oracles Anwälten rechnen. Dass andere nach Sicherheitslücken suchen, sei auch gar nicht nötig, schließlich täte Oracle schon selbst genug, um Sicherheitslücken zu finden und zu beseitigen, erklärt Davidson lang und breit (ihr Rant hat mehr als 16.000 Zeichen – das entspricht etwa einem dreiseitigen c't-Artikel).

Während schon die ersten schrägen Witze über Oracles schräger Position zu Sicherheitsproblemen durchs Internet geisterten, entfernte Oracle das Blog-Posting wieder von der Web-Seite. Wer es trotzdem lesen möchte, findet es natürlich noch, etwa in der Wayback Machine: No, You Really Can’t – Achtung, es ist wirklich lang.

Quelle und Links : http://www.heise.de/security/meldung/l-f-Wenn-Oracles-Security-Chefin-vom-Leder-zieht-2777150.html