Login
Login-Name Passwort


 
Newsletter
Werbung

Mo, 14. Januar 2013, 12:43

Software::Security

Oracle schließt kritische Java-Lücke

Oracle hat die seit rund einer Woche aktiv ausgenutzte Zero-Day-Lücke in Java 7 mit dem Update 11 geschlossen.

Oracle

Die gefährliche Sicherheitslücke, die alle Oracle Java 7-Versionen inklusive Update 10 betroffen hat, war nach ihrem Bekanntwerden sehr schnell aktiv ausgenutzt worden. Wie der Sicherheits-Blogger Brian Krebs in seinem Blog KrebsonSecurity berichtete, war bereits letzte Woche ein Exploit für die Schwachstelle in die beiden in der Szene weit verbreiteten Cracker-Kits Blackhole und Nuclear Pack eingefügt worden. Somit stand zu befürchten, dass sich der Exploit explosionsartig verbreiten würde, zumal er damit sehr einfach in Webseiten eingeschleust werden kann.

Da von Oracle vorerst keine Reaktion vernehmbar war und der vorab veröffentlichte Umfang des Patch-Pakets für den morgigen Oracle-Patchday keinen Patch für die Schwachstelle beinhaltete, Oracle darüber hinaus aber bekannt dafür ist, Lücken selten außerhalb des 3-monatigen Patch-Zyklus zu schließen, gab es bereits am vergangenen Donnerstag erste Reaktionen seitens Betroffener.

Sowohl Mozilla als auch Apple deaktivierten in ihren Browsern das Java-Plugin. Mozilla nutzt dazu ab Firefox 17 »Click-to-Play«, sodass der Nutzer das Plugin separat aktivieren muss. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert über die Schwachstelle und empfiehlt Internetnutzern ebenfalls die Deaktivierung von Java.

Oracle hat aufgrund der Schwere der Lücke am Wochenende Java auf Java 7 Update 11 angehoben, mit dem die Lücke geschlossen wird. Außerdem wird mit dem Update das Sicherheitslevel von unsignierten Java-Web-Apps von »mittel« auf »hoch« heraufgesetzt. Somit muss auch hier zukünftig der Nutzer der Ausführung explizit zustimmen. Wie am Wochenende der Sicherheitsforscher Adam Gowdiak von der polnischen Firma Security Exploration berichtete, wurde die jetzige Lücke durch eine im Oktober nur teilweise von Oracle geschlossene Schwachstelle erst ermöglicht. Security Explorations hatte die ursprüngliche Lücke im August 2012 an Oracle gemeldet.

Das Anheben der Version auf Oracle Java 7 Update 11 ist dringend empfohlen. Darüber hinaus ist der Tipp des BSI, das Java-Plug-in in den benutzten Browsern zu deaktivieren und nur im Falle, dass es gebraucht wird, selektiv zuzulassen, generell empfehlenswert. Die freie Java-Implementation OpenJDK war nicht von der Schwachstelle betroffen.

Werbung
Kommentare (Insgesamt: 11 || Alle anzeigen || Kommentieren )
Re[4]: Enterprise IT (Trollalert, Di, 15. Januar 2013)
Anwendungsfall? (Vert.x, Mo, 14. Januar 2013)
Re[3]: Enterprise IT (akf, Mo, 14. Januar 2013)
Re[2]: Enterprise IT (i.MX515, Mo, 14. Januar 2013)
Re: Enterprise IT (skinnie, Mo, 14. Januar 2013)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung