Thema: Java ...

[SiLæncer]

Oracle hat Java 6 Update 26 (1.6.0.26) veröffentlicht, in dem die Entwickler neun kritische Lücken in der Laufzeitumgebung geschlossen haben. Angreifer können die Lücken aus der Ferne ausnutzen, um über präparierte Java-Applets oder Java-Web-Start-Apps einen PC zu kompromittieren und unter ihre Kontrolle zu bringen. Letzteres ist laut Hersteller insbesondere unter Windows möglich, weil dort Anwender typischerweise mit Admin-Rechen arbeiten. Das Risiko etwa einer Infekton verringere sich daher beispielsweise unter Linux und Solaris.

Acht weitere Lücken hat Oracle mit einem CVS-Score zwischen 2,6 und 7,6 bewertet. Das Update lässt sich über die Aktualisierungsfunktion oder manuell installieren. Anwender sollten nicht zögern, die neue Version zu installieren, da Java unter Windows eines der beliebtesten Einfallstore für Trojaner ist. Exploits für neue Lücken werden in sogenannten Exploit-Packs regelmäßig aktualisiert.

Von den insgesamt 17 Fehlern sind auch einige im JDK 5.0 Update 29 und frühere sowie Java SE SDK 1.4.2_31 und früher zu finden. Für diese Versionen stehen aber keine Updates mehr zur Verfügung. Welche Java-Version auf dem eigenen Rechner installiert ist, kann man auf den Seiten von Oracle testen: Java-Version überprüfen. Dort gibt es auch Rätschläge, wie man parallel installierte, ältere Versionen entfernt.

Quelle : www.heise.de

[SiLæncer]

Schon im Oktober 2010 wurde dem Softwarehersteller Oracle eine Sicherheitslücke auf der offiziellen Downloadseite von Java gemeldet. Man kann dort mit Hilfe von Javascript und HTML den Inhalt fremder Webseiten einbinden, um die Besucher der ansonsten überaus vertrauenswürdigen Seite mit Schadsoftware zu verseuchen. Anbieter Oracle reagiert seit 10 Monaten auf keinen der getätigten Hinweise.

Der Berliner Senior IT Security Consultant David Vieira-Kurz hat auf der offiziellen Downloadseite von Java eine Sicherheitslücke ausfindig gemacht. Jemand anderes hatte aber schon vor fast einem Jahr auf XSSED die gleiche Lücke bekannt gemacht und das Oracle-Security-Team über den Bug informiert. Auf java.com ist es noch immer möglich, beliebige, erfundene Parameter an eine Datei zu übergeben, deren Werte im Kontext des (Gast-)Benutzers ausgeführt werden. Dies ist  besonders interessant, weil die Webseite ein legitimes, vertrauenswürdiges SSL-Zertifikat besitzt und dadurch allen Besuchern sehr seriös erscheint. Diesen Umstand kann sich dort ein Angreifer zunutze machen, indem er einen präparierten Link an seine vermeintlichen Opfer schickt. Dabei kann der Angreifer laut Vieira-Kurz mehrere legitim klingende Parameter "erfinden" und aneinanderhängen, bis der Platz in der Adresszeile des Browsers befüllt ist. Außerhalb des sichtbaren Adresszeilen-Bereichs kann er dann mittels HTML und Javascript beliebige Inhalte fremder Webseiten im legitimen Kontext der Java-Downloadseite einbinden (so auch Nyan-Cat oder Rick Astley bei anderen Webseiten geschehen) und somit eigene Malware statt der aktuellen Version des Java-SDK oder der Java-Runtime Dateien zum Download anbieten. Das Opfer wird es schwer haben diesen Angriff zu erkennen, wenn derjenige vom Cyberkriminellen zum Beispiel einen veränderten Link eines Linkverkürzers wie Bit.ly erhält.

Den Proof of Concept findet man auf der Webseite von David Vieira-Kurz und natürlich bei <xssed>.  Beide Hinweisgeber haben keine Antwort von Oracle erhalten, die Sicherheitslücke ist dementsprechend noch immer offen.

Quelle : www.gulli.com

[SiLæncer]

Kriminelle nutzen derzeit zunehmend eine kritische Lücke in der Java-Laufzeitumgebung aus, um Rechner beim Besuch speziell präparierter Webseiten mit Schadcode zu infizieren. Laut dem renommierten Security-Blogger Brian Krebs ist das darauf zurückzuführen, dass das Arsenal des weit verbreiteten Exploit-Kits BlackHole um einen passenden Exploit ausgebaut wurde.

Durch die Lücke, die Oracle Mitte Februar gepatcht hat, kann Schadcode aus der Java-Sandbox ausbrechen und sich dauerhaft auf dem System verankern. Welche Art von Schadcode dabei injiziert wird, ist variabel. Unter anderem soll die Lücke zur Verbreitung des ZeuS-Trojaners genutzt werden.

Laut einer Analyse von Microsoft ist der Dropper in zwei Java-Klassen aufgeteilt. Die erste Klasse nutzt die Schwachstelle bei der Verarbeitung von Arrays aus, um an höhere Rechte zu gelangen und führt anschließend die Loader-Klasse aus, sich um das Herunterladen und das Installieren der Payload kümmert.

Schützen kann man sich, indem man eine der derzeit aktuellen Java-Versionen 6 Update 31 oder 7 Update 3 installiert. Ob und welche Version des Browser-Plugins installiert ist, erfährt man auf dieser Testseite.

Allzu sicher sollte man sich jedoch selbst mit der aktuellsten Java-Version nicht fühlen: Brian Krebs berichtet von Gerüchten in Untergrundforen über einen neuen Exploit, der eine ungepatchte kritische Java-Lücke ausnutzt.

Wer auf Nummer sicher gehen will, kann Java auch komplett deinstallieren oder zumindest das Browser-Plugin deaktivieren. Letzteres dürfte sich aufgrund der stetig abnehmenden Verbreitung von Java auf die meisten Webseiten nicht auswirken.

Quelle : www.heise.de

[ritschibie]

Firefox blockt anfällige Java-Versionen, um die
Nutzer zu schützen. (Bild: Mozilla)

Angriffe gegen Java-Installationen, und damit auch gegen Browser, haben in letzter Zeit wieder zugenommen. Im Security Blog erklärt Mozilla, warum alte Java-Versionen von Oracle in Firefox gesperrt wurden.

Mozilla hat sich aufgrund laufender Angriffe vor einigen Tagen dazu entschieden, ältere Versionen der Java-Laufzeitumgebung zu sperren. Bei Mozilla gingen daraufhin viele Beschwerden ein. Jetzt hat sich Mozillas Sicherheitsexperte Christian Holler dazu geäußert.

Laut Holler gab es auch Beschwerden von Firmen und Organisationen, deren Werkzeuge veraltete Java-Versionen benötigten. In einigen Fällen sei aber ein Mozilla-Bug schuld gewesen. Unabhängig davon hätten aber einige Nutzer die Gefahr durch veraltetes Java unterschätzt, und das, obwohl schon lange bekannt sei, dass Java für Angreifer ein attraktives Ziel ist.

Zu den Sicherheitslücken in Java gehöre auch eine als CVE-2012-0507 katalogisierte. Keine sechs Wochen, nachdem Oracle den Fehler beseitigt habe, sei Schadcode aufgetaucht, der Internetnutzern per Java den Zeus-Bot installiert habe. Aber offenbar hätten viele Java-Nutzer die Zeit nicht genutzt, um das kritische Sicherheitsupdate zu machen. Selbst Apple habe es nicht für nötig gehalten, die drohende Gefahr zu beseitigen. Erst vor ein paar Tagen hatte Apple eine aktuelle Version der selbstgepflegten Java-Version veröffentlicht - ohne Berücksichtigung von Altsystemen.

Anwender unterschätzen die Gefahr

"Ich werde ohnehin nicht angegriffen" ist eine der klassischen Aussagen, die Holler anführt und begründet, warum so viele kein Java-Update machen. Dabei sei das Ausnutzen der Java-Sicherheitslücken kein gezielter Angriff. In Exploit-Kits habe Schadcode längst Einzug gehalten. Die Gefahr ist laut Holler sehr wohl gegeben, wenn der Nutzer das Internet benutzt.

Bei Mozilla wird der drastische Schritt, Java zu sperren, damit gerechtfertigt, dass die Balance zwischen Sicherheit und Benutzbarkeit nicht mehr gegeben gewesen sei. Zu sehr seien Sicherheitsbedenken in der Überzahl gewesen, verglichen mit den Benutzbarkeitsproblemen durch ein abgeschaltetes Java. Der Schutz der zahlreichen Anwender sei eine Priorität gewesen, ungeachtet dessen, dass Dritthersteller-Plugins sicher nicht Mozillas Aufgabe seien.

Quelle: www.golem.de

[ritschibie]

JavaSE-Nutzer sollten so bald wie möglich ihre JDK- und JRE-Pakete aktualisieren, empfiehlt Oracle in den Erklärungen zu seinem heutigen Update. Es behebt 14 Sicherheitslücken, von denen 6 als besonders schwerwiegend eingestuft sind: Sie erlauben Angriffe über das Netz ohne vorherige Authentifizierung.

Zu den Details macht Oracle selbst nur wenige Angaben. Die sechs Bugs betreffen offenbar Web-Start-Anwendungen und Java-Applets, die als nicht vertrauenswürdig eingestuft sind – etwa weil sie ohne Zertifikat ausgeliefert werden oder weil die Zertifikatsprüfung gescheitert ist. Eine der Lücken könne auch, so heißt es weiter, durch das Weiterreichen von Daten an Java-APIs ausgenutzt werden, etwa per Web Service.

Mehr Informationen hält der Linux-Anbieter Red Hat in seiner Fehlerdatenbank bereit. Der jetzt beseitigte Bug CVE 2012-1723 betrifft demzufolge den Java-Hotspot-Compiler, der die Zugriffsrechte für Klassen- und Objektattribute nicht immer prüft. Dadurch könne eine spezielle Klassendefinition unter Umständen die Grenzen der Java-Sandbox durchbrechen. Die unter CVE 2012-1713 zusammengefassten Lücken finden sich im nativen Code für den Fontmanager. Eine manipulierte Schriftdatei könne dadurch die JVM abstürzen lassen oder ihren Speicherbereich so manipulieren, dass die virtuelle Maschine beliebigen Code mit ihren Rechten ausführe.

Der in der GUI-Bibliothek Swing beseitigte Bug CVE 2012-1716 hätte durch unkontrollierten Zugriff auf bestimmte Bedienelemente ebenfalls die JVM abstürzen lassen können oder das Umgehen Sandbox-Einschränkungen ermöglicht. Dieselben Folgen hat auch CVE 2012-1711 in der CORBA-Implementierung (Common Object Broker Request Architecture).

Das Update betrifft die JavaSE-Versionen 7 (Update 4 und früher), 6 (Update 32 und früher), 5 (Update 35 und früher) sowie 1.4.2_37 und früher sowie JavaFX 2.1 und früher. Es steht bei Oracle für Linux, Solaris und Windows zum Herunterladen bereit.

Für Mac OS X 10.6 und 10.7 bietet Apple ebenfalls eine aktuelle Version von Java 6 an – sie erscheint damit erstmals seit längerem gleichzeitig mit der Windows-Version. Wer auf dem Mac Java 7 aktualisieren möchte, muss aber Oracles Server bemühen, da Apple selbst Java 7 nicht anbietet. Das Apple-Update integriert eine neue Funktion, die das Java-Plug-in automatisch deaktiviert, wenn für eine gewisse Dauer keine Applets gelaufen sind.

Quelle: www.heise.de

[SiLæncer]

Die derzeit aktuelle Java-Version enthält eine schwerwiegende Sicherheitslücke, durch man sein System beim Besuch einer speziell präparierten Webseite mit Schadcode infizieren kann. Die Lücke wird bereits aktiv ausgenutzt – bislang nur für gezielte Angriffe. Da aber ein Exploit im Umlauf ist, dürfte es nicht lange dauern, bis Cyber-Ganoven sie auch für breit angelegte Angriffswellen ausnutzen.

heise Security konnte das Problem nachvollziehen. Anhand der öffentlich zugänglichen Informationen ließ sich eine Proof-of-Concept-Seite erstellen: Beim Aufruf der Seite hat das Java-Plug-in ohne Rückfrage einen Prozess, in diesem Fall die calc.exe, ausgeführt. Statt des Taschenrechners hätte die Webseite aber auch einen Schädling herunterladen und ausführen können.

Betroffen sind alle 7er Versionen von Java. In unserem Test funktionierte der Exploit unter Windows in Verbindung mit allen verbreiteten Browsern einschließlich Google Chrome. Das widerspricht den Aussagen der Sicherheitsexperten von DeepEnd Research, laut denen sich die Schwachstelle nicht unter Chrome ausnutzen lässt. Wer Java auf seinem System installiert hat, sollte die Browser-Plug-ins umgehend deaktivieren – zumindest solange, bis Oracle einen Patch herausgibt.

Generell ist es eine Überlegung Wert, das Browser-Plug-in von Java in den Ruhestand zu schicken. Schließlich ist die Wahrscheinlichkeit gering, noch auf eine Webseite zu stoßen, die Java für legitime Zwecke einsetzt. Für Webseiten, die nach wie vor unvermeidbar Java einsetzen, kann man einen Zweitbrowser bereithalten. Lokale Java-Anwendungen starten auch mit deaktivierten Plug-ins wie gewohnt.

Bei den bisher beobachteten gezielten Angriffen wird die Lücke zur Installation des Trojaner Poision Ivy genutzt. Die Malware wird dabei auf einem Server in Singapur gehostet. Oracle hat sich bislang noch nicht zu dem Problem geäußert. Daher ist noch völlig unklar, wann die Schwachstelle geschlossen wird. Das nächste reguläre Update würde erst am 16. Oktober erscheinen.

Quelle : www.heise.de

[dvb_ss2]

Also so langsam glaube ich, dass man Java grundsätzlich vom Windows-PC verbannen sollte.

Mir kommt es so vor, dass die Sicherheit von Java seit Übernahme durch Oracle stark abgenommen hat.

dvb_ss2

[SiLæncer]

Seh ich prinzipiell auch so ...aber die Situation ist da ähnlich wie mit .NET ...diverse Programme setzen derartige Umgebungen vorraus ...

[dvb_ss2]

Naja, ich selbst habe das Problem an sich ja nicht, nutze ja schließlich Linux.

Mittlerweile habe ich aber denke ich schon 8-10 PCs unter meiner Mangel gehabt, die sich den BKA-Trojaner eingefangen haben.

Dann installiert man nach Bereinigung das aktuell(st)e Java und muss nur wenige Tage später wieder von einer Riesenlücke lesen.

Nervt einfach auf Dauer.

dvb_ss2

[Jürgen]

Aus meinem Standard-Browser und aus meinem Lieblings-Browser habe ich die Java-Plugins längst entfernt.
Bislang habe ich dadurch nichts versäumt...

[ritschibie]

Ich wollte gerade das Java-Plugin entfernen, da merke ich, dass zum posten im Würfel (wenn man denn Bilder und Zitate wiedergeben will) die Java-Umgebung auf meinem PC (also unter WinVista) zwingend erforderlich ist. Hmmmm...

[SiLæncer]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor der Montag gemeldeten kritischen Lücke in Java; auch das US-Cert hat inzwischen ein Advisory herausgegeben. Von der Lücke betroffen sind nach derzeitigem Kenntnisstand sämtliche 7er Versionen von Java – einschließlich der derzeit aktuellen 7 Update 6. Dabei spielt es keine Rolle, unter welchem Betriebssystem und mit welchem Browser man Java nutzt.

Der ganze Artikel

Quelle : www.heise.de

[Jürgen]

Ich wollte gerade das Java-Plugin entfernen, da merke ich, dass zum posten im Würfel (wenn man denn Bilder und Zitate wiedergeben will) die Java-Umgebung auf meinem PC (also unter WinVista) zwingend erforderlich ist. Hmmmm...

Hier unter 7 mit Opera oder Firefox offenbar nicht.
Zumindest kein Java Browser-Plugin.

BTW, Javascript ist in diesem Sinne nicht Java und nicht vom Plugin abhängig, sondern Bestandteil des Browsers.

[ritschibie]

Nur für einen ganz Blöden wie mich:

1. Das "Javascript" im Firefox kann ich also unter "Erweitert\Inhalte" weiter "aktiv" lassen?

2. Die Add-Ons "Java Development..." und "Java (TM) Platform..." deaktiviere ich?


Bild: Mozilla

[Theos]

1. Das "Javascript" im Firefox kann ich also unter "Erweitert\Inhalte" weiter "aktiv" lassen?

ich bevorzuge zwar die defensivere variante, und habe es standardmäßig geblockt (z.b. mit noscript), und aktiviere es nach bedarf, aber das ist richtig.
(über javascript kann man sich auch viel müll einhandeln, aber hier geht es um java)

2. Die Add-Ons "Java Development..." und "Java (TM) Platform..." deaktiviere ich?

ja
(bei mir war es übrigens schon deaktiviert, da mozilla das irgendwann mal automatisch über ein black list macht)

java ganz deinstallieren ist auch ein möglichkeit, wobei halt schon berücksichtigt werden sollte, dass es doch eine vielzahl an programmen gibt, die darauf aufbauen. viele (die größeren) liefern ein JRE mit, viele open-source programme jedoch nicht.