Von Florian Kurzmaier - 14.01.2013, 16:00

Sandbox

Zero-Day-Sicherheitslücke in Oracles Java gestopft

©Oracle

Am Freitag ist eine kritische Sicherheitslücke in Oracles Java-Plugin bekannt geworden. Durch deren Nutzung konnte auf einfachstem Weg Schadcode auf Computersysteme mit Java 7 geschleust werden. Mittlerweile hat Oracle einen Patch zum Stopfen der Lücke veröffentlicht.
Die Meldung ist ein wenig erfreuliches Ereignis für Java-Entwickler Oracle:  Durch die aktuelle 0-Day-Sicherheitslücke ist es möglich, die Systeme der Nutzer zu kapern, Identitäten und Kreditkarteninformationen auszuspähen und ein Botnetz einzurichten. Das betrifft mehrere hundert Millionen Nutzer von Windows, Mac OS und Linux, die die aktuelle Version 7 von Java nutzen.
Als am späten Abend des 10. Januar die Nachricht über die Sicherheitslücke die Runde machte, schaltete sich neben dem Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) sogar das US-Department of Homeland Security ein und empfahl die Abschaltung oder gar Deinstallation von Java: „Wir haben im Moment keine praktikable Lösung für das Problem“, heißt es von Seiten des Computer Emergency Readiness Teams (kurz: CERT) von Homeland Security. „Die Schwachstelle wird momentan unkontrolliert angegriffen und hat bereits ihren Weg in einige Exploit-Kits gefunden.“
Apple hat am Freitag schnell reagiert und dafür gesorgt, dass Safari keine Java-Applets mit der fehlerhaften Java-Version mehr öffnet. Dafür wurde jedoch nicht wie von Macrumors berichtet die Xprotect.plist genutzt, sondern die Xprotect.meta.plist. Erstere Liste enthält nämlich ausschließlich Informationen über Schädlinge, während bislang die Xprotect.meta.plist das letzte Änderungsdatum der Schädlingsliste enthielt. Als Reaktion auf die jüngste Sicherheitslücke in Java hat Apple den Metadaten der Xprotect.meta.plist eine zusätzliche Plugin-Blacklist hinzugefügt, durch die Mindest-Versionen von Plugins, darunter auch für Java-Applets, definiert werden können. Die Mindest-Versionen von Plugins bedeuten einfach, dass die Xprotect.meta.plist die auf dem Rechner vorhandenen Plugins auf ihre Aktualität prüft und so verhindert, dass der Nutzer unbeabsichtigt die veralteten und somit gefährlichen Plugins verwendet.
Beide plist-Dateien aktualisiert OS X täglich automatisch, um Apple die Möglichkeit zu geben, schnell auf derartige Bedrohungen zu reagieren. Unter „Systemeinstellungen > Sicherheit > Allgemein > Weitere Optionen“ können Sie nachsehen, ob das automatische Update der Definitions-Liste aktiviert ist.
Entscheidend bei der Sicherheitsfrage im Java-Kontext ist der Umgang mit Java-Applets – Sie waren die Ursache der jüngsten Schwachstelle. Applets laufen, sofern sie unsiginiert sind, innerhalb einer Sandbox-Umgebung, um Schaden am System zu verhindern. Eigentlich – denn durch eine Schwachstelle in der Sandbox-Umgebung konnten speziell präparierte Java-Applets ihre Berechtigungen ausdehnen und so der Sandbox "entfliehen". Durch das mittlerweile erhältliche Update „Java SE Development Kit 7, Update 11 (JDK 7u11)“ hat Oracle die Lücke gestopft und auch eine gravierende Änderung an den Voreinstellungen vorgenommen: Künftig ist die Standard-Sicherheitsstufe beim Start von Java-Applets in Sandboxing-Umgebung „hoch“ statt bisher nur „mittel“. Das hat zur Folge, dass in der Zukunft bei jedem Applet-Start separat nachgefragt wird, ob der Nutzer ihn erlaubt. So können Applets nicht mehr im Hintergrund aktiv werden.
Schon 2012 hatte die Java-Umgebung durch den gefürchteten Flashback-Trojaner für Negativschlagzeilen gesorgt (wir berichteten). Sollten es noch nicht getan haben, laden Sie hier das Update für Java .
Kommentare zu diesem Artikel (4 Beiträge)
Kommentar verfassen:
Kommentar verfassen

Login über einen Foren Account





Gastposting

Gastbeiträge müssen erst freigeschaltet werden, bevor Sie auf der Seite erscheinen.





Bestellen Sie "Macwelt Daily-Newsletter" kostenlos
Immer informiert sein:

Mit den kostenlosen Newslettern der Macwelt bleiben Sie auf dem Laufenden!

- Anzeige -
Angebote für Leser
Macwelt für iPad

Für das iPad: Macwelt HD
Neu: Die Macwelt als interaktive Ausgabe für das iPad - schon am Freitag vor dem Erstverkaufstag des Heftes im App Store erhältlich.

Macwelt mobil

Macwelt Online-Videothek
Keine Abogebühren oder unnötige Vertragsbindungen. Filme und Games bequem von zu Hause aus leihen.

Handytarif-Check
Mit unserem neuen Smartphone Tarifrechner finden Sie schnell den passenden Handytarif.

3x Macwelt testen!
Ja, ich teste 3x die Macwelt mit CD für nur 12,90 € (19,- Sfr).
Macwelt 04/14
Anrede:
Vorname:
Nachname:
Straße/Nr:
PLZ/Ort:
Land:
E-Mail:
Bestätigen
Nur wenn ich innerhalb von 2 Wochen nach Erhalt der 3. Ausgabe nichts von mir hören lasse, möchte ich die PC-WELT mit DVD zum gleichen Preis weiterbeziehen (D: 55,80 €/Jahr, EU: 64,80 €/Jahr, CH: 103,70 Sfr/Jahr). Nach dem Testzeitraum ist der Bezug jederzeit kündbar.
Ich bin damit einverstanden, dass die IDG Tech Media GmbH und ihre Partner mich per E-Mail über interessante Vorteilsangebote informieren.
Jetzt anfordern
1666275
Content Management by InterRed