Okt:2012: Java Zero-Day-Lücke Win/Mac/Linux - neue Lücke

Status
Für weitere Antworten geschlossen.
das vorhandensein von sicherheitslücken ist aufgrund der komplexität moderner software normal, doch wenn solch eine lücke entdeckt wird, muss man sie zeitnah schließen. das gilt umso mehr, wenn die lücke bereits aktiv ausgenutzt wird! wenn ein softwareanbieter dann einfach nur auf den nächsten parchday in einigen monaten verweist und bis dahin bei millionen von rechnern eine scheunentorgroße sicherheitslücke klafft, ist das unverschämt.

dass jetzt so viel auf oracle rumgehackt wird, hat seinen grund. in den vergangenen monaten gab es mehrere derartige fails bei denen. eine schwachstelle in ihrer berühmten db werden sie erst in der zukünftigen version 12 beheben, obwohl auch die aktuelle 11er version betroffen ist. bei java werden einfach mal patches zurückgehalten, weil sie für den anstehenden patchday zu spät dran gewesen seien. und und und

sicherheitsupdates müssen zeitnah verteilt werden und nicht quartalsweise. das kann man mit funktionserweiterungen und unkritischen bugfixes machen, aber nicht mit kritischen sicherheitsupdates.
 
Update 17.01.2013 10:41 Uhr

Der besagte Exploit ließ anscheinend nicht lange auf sich warten. Wie das Sicherheitsblog KrebsOnSecurity berichtet, wurde ein Exploit in einem einschlägigen Forum exklusiv an zwei Personen für mindestens je 5.000 US-Dollar verkauft. Der erneute Exploit nutzt eine Lücke in Java 7 Update 11, welches eigentlich die vorherige Verwundbarkeit beseitigen sollte.
Zum Vergrößern anklicken....

Quelle: ComputerBase.de -Schwere Sicherheitslücke in Oracle Java 7 (Update 4)
 
Wie sieht es eigentlich mit alternativen Java-Anbietern aus? Haben die diese Probleme nicht, oder erben sie die Probleme jeweils von Oracle? Konkret openjdk, da gab es vor zwei Tagen einen Patch.

Ähnliche Frage gilt für icedtea (obwohl ich selbst Javaplugins prinzipiell nicht benutze).
 
Na bitte. Hab ich doch noch eine Software gefunden, die mir Java (IcedTea) aufzwingt :facepalm:

Nachdem ich mit XBMC als UPnP-server für meine Musiksammlung nicht ganz zufrieden war, steuere ich nun meine Brüllwürfel mit dem Squeeze Server über SoftSqueeze an.

Hoffentlich ist das nicht das Ende für meinen kleinen Server :p
 
UPnP hab ich im Router-forwarding auch nicht aktiviert, sprich, es ist nicht möglich, dass sich ein Programm selbstständig durch einen Port triggert.
 
Bin ja mal gespannt ob das Update hält was es verspricht und nicht wieder in den nächsten Tagen Meldungen über weitere Lücken auftauchen.

Edit: Startpost aufgeräumt und auf den neusten Stand gebracht.
 
Zuletzt bearbeitet:
1. Post aktualisiert und angepasst.

Bis zum nächsten Patchday am 16.04 !
 
Sicherheitslücke in der neuesten Java-Version von Oracle

Sicherheitslücke in der neuesten Java-Version von Oracle

Am 19. Februar hatte die Firma Oracle zuletzt Patches für Sicherheitslücken in Java veröffentlicht. Jetzt wurden erneut Schwachstellen im Java Browser Plug-In des Java SE 7 Update 15 entdeckt, die Oracle mittlerweile auch bestätigt hat. Darüber hinaus werden Exploits der Lücken in Java SE 7 Update 11 aktiv ausgenutzt.

Erneut war es Adam Gowdiak und dessen Firma Security Explorations, die die Lücken an Oracle meldete. Die Firma war für die Aufdeckung fast sämtlicher Verwundbarkeiten von Java der letzten zwölf Monate verantwortlich. Die mit Issue 54 and 55 gekennzeichneten Probleme wurden von Gowdiak am 25. Februar an Oracle übermittelt und mit einem Proof of Concept belegt. Oracle konnte den Report mittlerweile nachvollziehen und sagte zu, die Schwachstelle schnell zu beheben.

Werden die beiden Lücken 54 und 55 in Kombination ausgenutzt, so kann damit die Java-Sandbox umgangen und Schadcode injiziert werden. Diese Vorgehensweise fand vermutlich bei den Angriffen auf Firmen wie Microsoft, Apple, Facebook, Twitter und zwei US-amerikanische Tageszeitungen Anwendung, über die letzte Woche berichtet wurde. Die Issues 54 und 55 nutzen laut Gowdiak „das Java Reflection API in interessanter Weise aus“. Mehr wollte er zu diesem frühen Zeitpunkt nicht sagen, sah „den Ball aber klar in Oracles Spielfeld“.

Die Firma Rapid 7, die auch das Metasploit-Framework betreut, warnte derweil vor einem Exploit für die Lücken in Java SE 7 Update 11, die Oracle kürzlich geschlossen hatte. Der Exploit, der mittlerweile in diversen Hackertools wie Cool EK und Popads integriert wurde, wird aktiv ausgenutzt.

Adam Gowdiak und zunehmend mehr Experten raten angesichts der nicht abreißenden Folge von sicherheitsrelevanten Vorfällen bei Java, die in jedem Fall recht schnell auch aktiv ausgenutzt wurden, Java, wenn möglich, zu deaktivieren. Ist das nicht machbar, sollte darauf geachtet werden, dass Updates sehr zeitnah eingespielt werden. Der nächste offizielle Oracle-Patchday ist der 16. April. Sollten die neuen Verwundbarkeiten aktiv ausgenutzt werden, könnte sich Oracle dazu entschließen, die Lücken vorher zu reparieren.
Zum Vergrößern anklicken....

Quelle: ComputerBase.de - Sicherheitslücke in der neuesten Java-Version von Oracle
 
Immer wieder mal 'ne freudige Neuigkeit betreffend Java :facepalm:. Wunderte mich nur, dass es ganze 7 Tage dauerte, bis die ersten Meldungen hinsichtlich Sicherheitslücken entdeckt wurden. Und da ich auf Java, glücklicherweise nur lokal, angewiesen bin, kann ich die Plug-Ins in den Browsern mit Frohsinn deaktivieren :rolleyes:.
 
Status
Für weitere Antworten geschlossen.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben