Nur 9 von 22 Virenwächtern blockieren Java-Exploit
Wie wichtig die Installation des jüngst veröffentlichten Java-Updates ist, zeigt ein Test von heise Security. Die meisten Virenwächter schützen nicht zuverlässig davor, dass Webseiten durch eine kritische Java-Lücke ungefragt das System manipulieren.
- Ronald Eikenberg
Nicht einmal die Hälfte von 22 untersuchten Antivirenprogrammen schützt vor dem derzeit kursierenden Exploit, der eine hochkritische Schwachstelle in der Java-Version 7 Update 6 ausnutzt. Das kam bei einer im Auftrag von heise Security durchgeführten Analyse des Testlabors AV-Comparatives heraus.
Wir haben zwei Versionen des Exploits getestet: Erstens eine Basisversion, die im Wesentlichen auf dem veröffentlichten Proof-of-Concept beruhte und statt des Taschenrechners das Notepad gestartet hat. Die zweite Variante haben wir um eine Download-Routine ergänzt, die eine EXE-Datei aus dem Internet auf die Platte schreibt. Als Testsystem kam Windows XP zum Einsatz, auf dem außer im Fall von Avast, Microsoft und Panda die Security-Suiten installiert waren.
Von den 22 Testkandidaten konnten nur 9 die beiden Exploit-Variationen blockieren (Avast Free, AVG, Avira, ESET, G Data, Kaspersky, PC Tools, Sophos und Symantec). Gepatzt haben hingeben 12 Virenwächter (AhnLab, Bitdefender, BullGuard, eScan, F-Secure, Fortinet, GFI-Vipre, Ikarus, McAfee, Panda Cloud Antivirus. Trend Micro und Webroot). Microsofts kostenlose Security Essentials konnten zumindest die Basisversion des Exploits stoppen.
Bei den Ergebnissen ist zu beachten, dass sie eine Momentaufnahme vom 30. August um 13 Uhr sind und keine Rückschlüsse auf die Gesamtqualität der Virenschutzprogramme erlauben. Die getestete Java-Version war zu diesem Zeitpunkt aktuell, der Exploit-Code bereits seit mehreren Tagen im Umlauf.
Die Ergebnisse zeigen, dass man sich beim Schutz seines Systems nicht allein auf den Virenwächter verlassen darf. Auch die installierten Anwendungen und Plug-ins müssen gepflegt werden, damit sie Schädlingen keine Schlupflöcher bieten. Die kritische Java-Lücke hat Oracle allem Anschein nach am Donnerstagabend mit der Java-Version 7 Update 7 geschlossen. Wer Java auf seinem System installiert hat, sollte das Update umgehend einspielen.
Man kann davon ausgehen, dass sich der Exploit im Waffenarsenal der Cyber-Ganoven noch einige Jahre größter Beliebtheit erfreuen wird, da er plattformübergreifend funktioniert und sehr zuverlässig ist. Wie zuverlässig er ist, zeigt ein Blick in die Statistik einer Installation des BlackHole-Angriffsbaukastens: Durch den Einbau des Exploits beträgt die Erfolgsquote der Java-Exploits 75 bis 99 Prozent. Insgesamt konnte BlackHole jeden vierten Rechner infizieren – üblicherweise klappt das nur in einem von zehn Fällen. (rei)
