Forscher entdeckt kritische Lücke in aktueller Java-Version
Adam Gowdiak musste erneut ein kritisches Sicherheitsproblem in Java an Oracle melden. Er hat der Schwachstelle die laufende Nummer 69 zugeteilt.
Das Team des polnischen Sicherheitsexperten Adam Gowdiak [1] hat eine kritische Schwachstelle [2] in der derzeit aktuellen Java-Version 7 Update 25 entdeckt, durch die Schadcode aus der Java-Sandbox ausbrechen kann. Laut Gowdiak klafft die Lücke im Typensystem, es handelt sich offenbar um eine sogenannte Type Confusion Attack [3]. Der Sicherheitsexperte hat dem Sicherheitsproblem die laufende Nummer 69 zugeteilt und Oracle informiert.
Darüber hinaus hat Gowdiak Details [4] und einen Exploit [5] zu einer von seinem Team entdeckten Java-Lücke veröffentlicht, die Oracle gerade erst im Juni veröffentlicht hat. Wer Java auf seinem Rechner installiert hat, sollte sich das einmal mehr zum Anlass nehmen, den Java-Versionsstand zu kontrollieren. Das Java-Plug-in für Browser steht bei Online-Kriminellen traditionell als Verbreitungsweg für Malware hoch im Kurs. Das liegt vor allem auch daran, weil man Java nur mühsam auf dem aktuellen Stand [6] halten kann.
Man kann sich vor Angriffen auf das Java-Plug-in schützen, indem man im Java Control Panel, das sich unter Windows in der Systemsteuerung befindet, auf dem Registerreiter "Sicherheit" die Option "Java-Content im Browser aktivieren" abschaltet. Als Kompromiss kann man zumindest die Java-Einbindung im Browser deaktivieren beziehungsweise das von Chrome, Firefox und Opera angebotene Click-to-Play einsetzen. Dadurch muss man der Ausführung von Plug-ins explizit zustimmen. (rei [7])
URL dieses Artikels:
https://www.heise.de/-1920014
Links in diesem Artikel:
[1] http://www.heise.de/security/suche/?q=Gowdiak&rm=search&channel=security
[2] http://seclists.org/fulldisclosure/2013/Jul/172
[3] http://www.securingjava.com/chapter-five/chapter-five-7.html
[4] http://www.security-explorations.com/materials/SE-2012-01-ORACLE-12.pdf
[5] http://www.security-explorations.com/materials/se-2012-01-61.zip
[6] https://www.heise.de/news/Studie-alarmiert-Java-Plugins-sind-meist-stark-veraltet-1832161.html
[7] mailto:rei@heise.de
Copyright © 2013 Heise Medien