zurĂŒck zum Artikel

Nur 9 von 22 VirenwÀchtern blockieren Java-Exploit

Ronald Eikenberg

Wie wichtig die Installation des jĂŒngst veröffentlichten Java-Updates ist, zeigt ein Test von heise Security. Die meisten VirenwĂ€chter schĂŒtzen nicht zuverlĂ€ssig davor, dass Webseiten durch eine kritische Java-LĂŒcke ungefragt das System manipulieren.

Nicht einmal die HĂ€lfte von 22 untersuchten Antivirenprogrammen schĂŒtzt vor dem derzeit kursierenden Exploit, der eine hochkritische Schwachstelle in der Java-Version 7 Update 6 ausnutzt. Das kam bei einer im Auftrag von heise Security durchgefĂŒhrten Analyse des Testlabors AV-Comparatives [1] heraus.

Wir haben zwei Versionen des Exploits getestet: Erstens eine Basisversion, die im Wesentlichen auf dem veröffentlichten Proof-of-Concept [2] beruhte und statt des Taschenrechners das Notepad gestartet hat. Die zweite Variante haben wir um eine Download-Routine ergĂ€nzt, die eine EXE-Datei aus dem Internet auf die Platte schreibt. Als Testsystem kam Windows XP zum Einsatz, auf dem außer im Fall von Avast, Microsoft und Panda die Security-Suiten installiert waren.

Gefahr erkannt, Gefahr gebannt: Die Microsoft Security Essentials haben zumindest einen von zwei Angriffsversuchen erkannt – einen zu wenig, aber mehr als die meisten anderen Scanner im Test.

Von den 22 Testkandidaten konnten nur 9 die beiden Exploit-Variationen blockieren (Avast Free, AVG, Avira, ESET, G Data, Kaspersky, PC Tools, Sophos und Symantec). Gepatzt haben hingeben 12 VirenwÀchter (AhnLab, Bitdefender, BullGuard, eScan, F-Secure, Fortinet, GFI-Vipre, Ikarus, McAfee, Panda Cloud Antivirus. Trend Micro und Webroot). Microsofts kostenlose Security Essentials konnten zumindest die Basisversion des Exploits stoppen.

Bei den Ergebnissen ist zu beachten, dass sie eine Momentaufnahme vom 30. August um 13 Uhr sind und keine RĂŒckschlĂŒsse auf die GesamtqualitĂ€t der Virenschutzprogramme erlauben. Die getestete Java-Version war zu diesem Zeitpunkt aktuell, der Exploit-Code bereits seit mehreren Tagen im Umlauf.

Die Ergebnisse zeigen, dass man sich beim Schutz seines Systems nicht allein auf den VirenwĂ€chter verlassen darf. Auch die installierten Anwendungen und Plug-ins mĂŒssen gepflegt werden, damit sie SchĂ€dlingen keine Schlupflöcher bieten. Die kritische Java-LĂŒcke hat Oracle allem Anschein nach am Donnerstagabend mit der Java-Version 7 Update 7 [3] geschlossen. Wer Java auf seinem System installiert hat, sollte das Update umgehend einspielen.

Man kann davon ausgehen, dass sich der Exploit im Waffenarsenal der Cyber-Ganoven noch einige Jahre grĂ¶ĂŸter Beliebtheit erfreuen wird, da er plattformĂŒbergreifend funktioniert und sehr zuverlĂ€ssig ist. Wie zuverlĂ€ssig er ist, zeigt ein Blick in die Statistik [4] einer Installation des BlackHole-Angriffsbaukastens: Durch den Einbau des Exploits betrĂ€gt die Erfolgsquote der Java-Exploits 75 bis 99 Prozent. Insgesamt konnte BlackHole jeden vierten Rechner infizieren – ĂŒblicherweise klappt das nur in einem von zehn FĂ€llen. (rei [5])

URL dieses Artikels:
https://www.heise.de/-1695906

Links in diesem Artikel:
[1] http://www.av-comparatives.org/de/
[2] http://pastie.org/4594319
[3] https://www.heise.de/news/Oracle-reagiert-mit-Notfall-Update-auf-Java-Schwachstelle-1696086.html
[4] http://blog.seculert.com/2012/08/java-0-day-blackhole-king.html
[5] mailto:rei@heise.de

Copyright © 2012 Heise Medien