Okt:2012: Java Zero-Day-Lücke Win/Mac/Linux - neue Lücke

[ian_moone]

Java - Updates und Hinweise zu kritischen Sicherheitslücken Win/Mac/Linux - Update!

Edit by Mornsgrans:
Das Oktober-Update von Oracle brachte keine Besserung. Siehe Beitrag #147

Update 15.01.13:
Die Sicherheitslücke wurde endlich (offensichtlich) geschlossen.
Siehe Beitrag #193

Update 17.01.13:
Neue Lücke entdeckt.
Siehe Beitrag #203


Update 02.02.13:
Neues Update auf 1.7u13
Siehe Beitrag #208


Update 19.02.13:
Weiteres Update auf 1.7u15
Siehe Beitrag #217


-----------------------------------

Update 16.04.13:
Weiteres Update auf 1.7u21
Siehe Beitrag #251


Da ziemlich wichtig, hier nochmal der Hinweis zur Zero-Day-Lücke in Java!

Betroffen sind alle Systeme und alle Browser.


Lösung: Deinstallation von Java oder deaktivieren des Plugins! oder Update! Auf 1.7u21 (siehe unten!)http://www.oracle.com/technetwork/java/javase/downloads/index.html

Die nächsten regülären Java-Updates sieheUpdate-Plan

ZDNet - Alle Betriebssysteme/Browser betroffen - Der Beweis

Heise-Security - BSI warnt vor Java-Lücke



Anleitung zur Deaktivierung des Java-Plugins im jeweiligen Browser:

- bei Chrome/Iron wird JAVA über chrome":"plugins (= : ohne Anführungsstiche!) bzw. chrome://plugins deaktiviert bzw. nach Anleitung

- bei Firefox mit Extras - Addons - Plugins (dort "Java Platform SE...") bzw. nach Anleitung

- bei Opera über opera":"plugins (= : ohne Anführungsstiche!)

- bei Safari nach Anleitung

- bei Internet Explorer nach Anleitung bzw. alternativ unter Solution




Java Update auf 1.7u21 - Release-Notes

 

[cuco]

Gibt es irgendwo eine "Testseite"? Also die diesen Hack nutzt, ohne Schaden anzurichten, so dass man testen kann, ob das eigene System dafür anfällig ist? Mich würde mal interessieren, ob z.B. Sicherheitssuiten drauf anspringen könnten und das blocken?

http://www.heise.de/newsticker/meldung/BSI-warnt-vor-hochkritischer-Java-Luecke-1677249.html

Dass das Ding im Artikel nur eine Grafik ist, hast du aber bemerkt oder? Für den eigentlichen Test musst du die Grafik anklicken.

Und da kommen wir auch schon zum Punkt - der Test prüft nur, ob Java überhaupt aktiv ist. Ich hätte gerne eine Testseite, die prüft, ob der Exploit selbst geht.

Übrigens fragt mich mein Chrome vor der Ausführung des Java-Checks erst, ob ich Java dieses Mal ausführen möchte. Ist Chrome so gesehen dann gar nicht direkt von der Sicherheitslücke betroffen, weil man zunächst noch eine Warnmeldung bestätigen muss, was man auf dubiosen Seiten wohl nie machen wird?

 

[MarcusAgrippa]

Ich würde sagen, bei dir ist Java so konfiguriert, dass du nachfragen lässt.

Aber das Ding mit den fragwürdigen Seiten halte ich für fragwürdig : es geht um gehackte Seiten, also welche, die nicht fragwürdig daherkommen

 

[Mornsgrans]

Ich hätte gerne eine Testseite, die prüft, ob der Exploit selbst geht.

Aber das Ding mit den fragwürdigen Seiten halte ich für fragwürdig

Sei mal nicht so unkooperativ!!

 

[MarcusAgrippa]

Wobei "Nein" natürlich ausgegraut ist...

 

[fabio]

Klar doch: im Reiter "Plugins" das "IcedTea-Plugin".

Ok, danke. Wie es scheint hab ich es nicht mal installiert.

 

[Evilandi666]

Und da kommen wir auch schon zum Punkt - der Test prüft nur, ob Java überhaupt aktiv ist. Ich hätte gerne eine Testseite, die prüft, ob der Exploit selbst geht.

Such ich auch, gibts wohl nicht :/ Nur irgendwelche "Ich lese deine Javaversion aus und entscheide damit dann.."-Applets.

Übrigens fragt mich mein Chrome vor der Ausführung des Java-Checks erst, ob ich Java dieses Mal ausführen möchte. Ist Chrome so gesehen dann gar nicht direkt von der Sicherheitslücke betroffen, weil man zunächst noch eine Warnmeldung bestätigen muss, was man auf dubiosen Seiten wohl nie machen wird?

Ja solltest du sein, das schrieb ich ja schon im zweiten Beitrag Hast du aber so eingestellt, ist (glaube ich?) noch nicht Standard.

 

[MarcusAgrippa]

Demnach:

Wenn man Java nicht generell abschalten will, gilt für die einzelnen Browser:

- bei Chrome/Iron wird JAVA über chrome":"plugins (= : ohne Anführungsstiche!) bzw. chrome://plugins deaktiviert

- bei Firefox mit Extras - Addons - Plugins (dort "Java Platform SE...")

- bei Opera über opera":"plugins (= : ohne Anführungsstiche!)

- Wo kann man das beim Internet Explorer einstellen (hab ihn nicht drauf )

Edit: Die vollständige Aufstellung könnte der TE dann vielleicht in seinen Anfangspost kopieren

 

[Mornsgrans]

Im FF:
Extras - Addons - Plugins
Dort kann "Java Platform SE..." deaktiviert werden, wenn dies nicht schon der Fall ist.

 

[cuco]

Ja solltest du sein, das schrieb ich ja schon im zweiten Beitrag Hast du aber so eingestellt, ist (glaube ich?) noch nicht Standard.

Sicher? Ich kann mich nicht erinnern, etwas derartiges eingestellt zu haben. Ich glaube, das war irgendwann nach einem Update von Google Chrome automatisch so. Ich kann auch nicht finden, wo ich es umstellen könnte.

Sei mal nicht so unkooperativ!!
Anhang anzeigen 60125

Warte.. Ich glaube ich habe schon das erste infizierte Programm gefunden... Du erinnerst dich?

und ich hab da auch noch "Ja" angeklickt... :facepalm:

 

[MarcusAgrippa]

Im FF:

Habs dir gleich mal geklaut

 

[Evilandi666]

Sicher? Ich kann mich nicht erinnern, etwas derartiges eingestellt zu haben. Ich glaube, das war irgendwann nach einem Update von Google Chrome automatisch so. Ich kann auch nicht finden, wo ich es umstellen könnte.

Einstellungen -> Inhaltseinstellungen (eventuell vorher erw. Einstellungen anzeigen) -> Plugins -> Click to Play (Ausnahmen für einzelne Seiten kann man dort auch festlegen).

Hab java bzw. icedtea vorerst nun aber via chrome://plugins auch ganz aus.

 

[cuco]

Einstellungen -> Inhaltseinstellungen (eventuell vorher erw. Einstellungen anzeigen) -> Plugins -> Click to Play (Ausnahmen für einzelne Seiten kann man dort auch festlegen).

Steht auf "Automatisch ausführen"! Java scheint also extra behandelt zu werden, andere Plugins werden bei mir auch sofort ausgeführt.

 

[Evilandi666]

Steht auf "Automatisch ausführen"! Java scheint also extra behandelt zu werden, andere Plugins werden bei mir auch sofort ausgeführt.

Das ist ja spannend .. dann wird das wohl so gewollt sein..

 

[Helios]

Okay... reicht also, wenn ich in FF 15.0, wie bereits erledigt, Java deaktiviere? Somit ist das Problem bis zur Veröffentlichung zum nächsten Patch oder Version seitens Oracle behoben und ich bin auf der sicheren Seite, richtig?

 

[MarcusAgrippa]

Kann keiner mal im Internet Explorer nachgucken, wie es da geht?

Ist umso wichtiger, als Windows bei vielen Sachen den Iexplorer benutzt, ohne ihn jemals upzudaten (liess sich auch nicht manuell machen: iexplore.exe war unter den versteckten Dateien aufgeführt, ein Update war unmöglich !).

(Bei mir hat ihn ein freundlicher Helfer beim Stammtisch entfernt [weiss nicht wie er das gemacht hat. Meine eigenen Versuche, Iexplorer trotz Admin-Rechten zu löschen, schlugen fehl, weil dann nach gesonderten Installer-Rechten gefragt wurde. Das aber hätte mich in Tiefen des Systems geführt, bei denen ich nicht sicher sein konnte, nicht etwas zu zerstören].

Seither weicht Windows (7) auf Iron (Chrome) aus, einen Browser, den ich so gut wie nie benutze, von dem CCleaner aber jedesmal Daten bereinigt, weil Windows im Hintergrund drauf zugreift und damit arbeitet. Vorher waren es Iexplore-Daten gewesen).

Ich halte das für eine ernsthafte Sicherheitslücke.

[EDIT: Iron lässt sich wenigstens manuell updaten!]

 

[fabio]

Kann keiner mal im Internet Explorer nachgucken, wie es da geht?

Im heise Artikel stand zumindest, dass man trotz Versuche Java im IE zu deaktivieren nicht verhindern konnte, dass Java auf der Testseite als aktiv erkannt wurde, und man sollte deshalb Java über die Systemsteuerung -> Pogramme ändern/entfernen vorläufig ganz deinstallieren.

 

[Helios]

Wie sieht's bei mir aus... Link?

 

[Ede_123]

Okay... reicht also, wenn ich in FF 15.0, wie bereits erledigt, Java deaktiviere? Somit ist das Problem bis zur Veröffentlichung zum nächsten Patch oder Version seitens Oracle behoben und ich bin auf der sicheren Seite, richtig?

Klar, wenn das Java-Plugin im FF deaktiviert ist, wird das Java-Applet nicht mehr geladen und der Exploit kann nicht mehr ausgenutzt werden.
Alternativ kannst du auch die von mir beschriebene Einstellung in about:config ändern und damit "click to play" in Firefox aktivieren (erfüllt den gleichen Zweck wiedie Funktion, welche in Chrome bereits implementiert ist).

Edit: Wäre schön falls mal einer einen Link zu einem Testbeispiel des Exploits hat. Helios freut sich bestimmt auch wenn er KIS damit testen kann.
Die Seiten die hier verlinkt sind (aus dem Quelltext des Exploits auf pastebin) und auf denen der Exploit wohl zuerst entdeckt wurde werden von Avast z.B. direkt blockiert, ob auch der Exploit selbst schon erkannt wird bleibt fraglich.

 

[MarcusAgrippa]

Bleibt die Frage in #36 offen: was tun, wenn Windows im Hintergrund auf den Iexplorer zugreift, der selbst nicht zu schützen ist. Und das auch, wenn man glaubt, nur mit dem Wahlbrowser unterwegs zu sein.

(Ausser natürlich, Java ganz zu deaktivieren: was ich übrigens in der Systemsteuerung > Java gemacht habe. Nachteile sind mir bisher nicht aufgefallen - Win 7 (das im Hintergrund auf Iron zugreift) + Opera als mein Browser. Durch das Deaktiveiern in der Sys-steuerung waren die Browser-JavaPlugins ohne weiteren Eingriff deaktiviert, also in Iron wie in Opera)

 

[Helios]

Alles klar, danke. Ein Link zu einem Test-Exploit wäre erreichenswert, finde jedoch keinen... jemand anders? Betreffend KIS, denke respektive bin überzeugt, dass Kaspersky Lab diesen Exploit bereits analysiert und entsprechende Massnahmen ergriffen hat.