Okt:2012: Java Zero-Day-Lücke Win/Mac/Linux - neue Lücke

[ian_moone]

Java - Updates und Hinweise zu kritischen Sicherheitslücken Win/Mac/Linux - Update!

Edit by Mornsgrans:
Das Oktober-Update von Oracle brachte keine Besserung. Siehe Beitrag #147

Update 15.01.13:
Die Sicherheitslücke wurde endlich (offensichtlich) geschlossen.
Siehe Beitrag #193

Update 17.01.13:
Neue Lücke entdeckt.
Siehe Beitrag #203


Update 02.02.13:
Neues Update auf 1.7u13
Siehe Beitrag #208


Update 19.02.13:
Weiteres Update auf 1.7u15
Siehe Beitrag #217


-----------------------------------

Update 16.04.13:
Weiteres Update auf 1.7u21
Siehe Beitrag #251


Da ziemlich wichtig, hier nochmal der Hinweis zur Zero-Day-Lücke in Java!

Betroffen sind alle Systeme und alle Browser.


Lösung: Deinstallation von Java oder deaktivieren des Plugins! oder Update! Auf 1.7u21 (siehe unten!)http://www.oracle.com/technetwork/java/javase/downloads/index.html

Die nächsten regülären Java-Updates sieheUpdate-Plan

ZDNet - Alle Betriebssysteme/Browser betroffen - Der Beweis

Heise-Security - BSI warnt vor Java-Lücke



Anleitung zur Deaktivierung des Java-Plugins im jeweiligen Browser:

- bei Chrome/Iron wird JAVA über chrome":"plugins (= : ohne Anführungsstiche!) bzw. chrome://plugins deaktiviert bzw. nach Anleitung

- bei Firefox mit Extras - Addons - Plugins (dort "Java Platform SE...") bzw. nach Anleitung

- bei Opera über opera":"plugins (= : ohne Anführungsstiche!)

- bei Safari nach Anleitung

- bei Internet Explorer nach Anleitung bzw. alternativ unter Solution




Java Update auf 1.7u21 - Release-Notes

 

[ian_moone]

Anfangs-Thread ergänzt.

Den IE könnte man doch per Firewall sperren?! Jedenfalls vorübergehend, denke mal das es ja so nicht bis zum Oktober-Update bleibt.

Eine Seite zum Testen gibt es so glaub ich nicht, Heise hat die URL im Bericht geschwärzt. Weiß auch nicht ob das legal wäre selbst zu testzwecken so etwas öffentlich zu hosten/zugänglich zu machen.

Den Exploit-Code gibt es hier für Neugierige.

 

[Helios]

Update vom 29.08.2012, 10:20: Um Missverständnisse zu vermeiden, ist der Screenshot unserer Testseite nun direkt mit dem Browsercheck verlinkt. Auch im Text findet man nun einen entsprechenden Link. Darüber hinaus wurden die Angaben im Artikel zur Deaktivierung von Java unter Opera korrigiert.

Browsercheck

Quelle: ---> hier wird angezeigt, ob Java aktiv ist: heise Security - BSI warnt vor hochkritischer Java-Lücke

 

[Da_Andy]

Mit "chromeDoppelpunktplugins" kommt man sehr wohl auf die Konfigurationsseite, auf der man die einzelnen Plugins aktivieren oder deaktivieren kann! (Doppelpunkt ist hier ausgeschrieben, da im Posting sonst aus Doppelpunkt+p das Smiley entsteht)

Wenn man (jedenfalls in Win7) in der Systemsteuerung > Java die Deaktivierung vornimmt und neustartet, sind in Chrome/Iron und Opera Java die Java-Plugins von vornherein deaktiviert. Gilt sicherlich für andere Browser auch...?...oder?

Das ist mir schon klar, ich weiß wie in dahin komme! Flash, Divx, Chrome PDF Viewer etc. steht da. aber KEIN Java!

 

[MarcusAgrippa]

aber KEIN Java!

Glückwunsch!

 

[Helios]

Bei mir ist sie aktiv, obwohl alle Java-Plug-Ins deaktiviert sind. Werde Java als Folge dessen komplett vom System entfernen. Eine Identifikation im Browsercheck findet jedoch nicht statt... interessant .

Addendum: Entwarnung... Java ist inaktiv!

 

[Ede_123]

Habe gerade mal nachgeschaut:

Im Internet Explorer auf Einstellungen klicken (das kleine Zahnrad) und "Add-Ons verwalten" wählen (bzw. alternativ über die Menüleiste "Extras" -> "Add-Ons verwalten").
Dort die Dropdown-Liste "Anzeigen" auf "Alle Add-Ons" stellen und am besten alles was mit Java zusammenhängt (auf jeden Fall aber das Java-Plugin) deaktivieren.

Das funktioniert problemlos, anschließend werden Java-Applets nicht mehr angezeigt. Die Meldung von Heise, dass Java aktiv sei, ist vermutlich einfach falsch.

Allerdings sollte man sicherstellen, dass sowohl die 32-bit Varante des Java Plugins im 32-bit Internet Explorer als auch die 64-bit Variante im 64-bit Internet Explorer deaktiviert sind. Der Einstellungsdialog "Internetoptionen" in der Systemsteuerung scheint zur 64-bit Version zu führen.


Edit: @ Helios
Mit deaktiviertem Firefox-Java-Plugin???

 

[ian_moone]

Hab mal den den offizielen Weg zum deaktivieren des Java-Plugins im IE im Anfangspost ergänzt. (Regitry-Einträge müssen bearbeitet werden)

Bei mir ist sie aktiv, obwohl alle Java-Plug-Ins deaktiviert sind.

Firefox mal neu gestartet? Bei mir bleibt die Fläche da grau. (FF 15.0, Java 1.7u6)

 

[Helios]

Edit: @ Helios
Mit deaktiviertem Firefox-Java-Plugin???

Alles gut, Ede... habe mich verguckt. Auf der Hauptseite von heise steht, dass Java aktiv ist, klicke ich jedoch den Browsercheck an, wird keine entsprechende Identifikation angezeigt :thumbup:. Nun, da ich Java im Grunde nie brauche, werde ich dieses von meinem System komplett verbannen.

 

[MarcusAgrippa]

werde ich dieses von meinem System erbannen.

Done

 

[Helios]

Ahhhh... Wuala baut auf Java auf. Kann es folglich nicht entfernen :facepalm:. Habe jedoch alle Plug-Ins deaktiviert... sowohl diese im IE wie in FF.

 

[MarcusAgrippa]

Wuala baut auf Java auf

Interessant: Secunia auch. Ciao, Secunia!

 

[Helios]

Interessant: Secunia auch. Ciao, Secunia!

Echt?! Finde ich ziemlich...naja, sagen wir mal, "traurig". Folglich nicht zu gebrauchen...

 

[floppy]

Dass das Ding im Artikel nur eine Grafik ist, hast du aber bemerkt oder? Für den eigentlichen Test musst du die Grafik anklicken.

Oje, war dir das zuviel Lesestoff auf dieser Seite? Nächstes Mal verlinke ich ohne Hintergrundinfos, ganz großes Indianerehrenwort!

 

[Helios]

Hier noch ein Artikel zur Beschreibung der Detektierung und Deaktivierung der Java-Sicherheitslücke (man beachte die spezielle Deaktivierung im Internet Explorer):

To disable Java in Google Chrome:

• Go to the wrench in the upper right corner of the browser window
• Click on settings and search for Java in the search box
• Click on the highlighted Content Settings button and then scroll down to the Plug-ins entry
• Select Disable Individual Plugins and then click on Disable Java

To disable Java in Mozilla Firefox:

• Click on the Firefox tab in the top left corner and then click Add-ons
• Select Plug-ins and then click Disable on Java

Disabling Java in Internet Explorer is a little more complex, for some reason. Brian Krebs has a description of a couple of different methods for removing Java from IE.

Quelle: threatpost - Detecting and Removing Vulnerable Java Versions

 

[Helios]

Super Anleitung, um Java im Internet Explorer zu deaktivieren!

 

[Evilandi666]

Alles klar, danke. Ein Link zu einem Test-Exploit wäre erreichenswert, finde jedoch keinen... jemand anders? Betreffend KIS, denke respektive bin überzeugt, dass Kaspersky Lab diesen Exploit bereits analysiert und entsprechende Massnahmen ergriffen hat.

Nein, davon würde ich nicht ausgehen. Es gab in einem der unzähligen Artikel eine Aussage, dass das wohl auch nicht geschehen wird, da der Exploit unglaublich unauffällig ist und kaum komplizierten bzw. selten Code nutzt und daher wohl kaum erkannt werden kann. Was aber natürlich geht: Sobald ein Schädling nachgeladen wird, wird der dann wohl erkannt werden. Wenn man sich die letzten 1,2 Java Exploits ansieht, die waren weit spezieller und mit mehr Tricks versehen, da war die Erkennung wesentlich einfacher.

Ich will eine Testexploitseite .. zu faul es selbst zu basteln
Gut, andererseits: Java ist eh aus. Ich würde nur endlich gerne wissen ob Openjdk betroffen ist.

 

[Helios]

Hmmm, ah, okay... möglich.

Hier eine Testseite, welche zuverlässig den Exploit eines beliebigen Browsers eruiert (siehe vorherigen Beitrag von mir).

 

[Evilandi666]

Hmmm, ah, okay... möglich.

Hier eine Testseite, welche zuverlässig den Exploit eines beliebigen Browsers eruiert (siehe vorherigen Beitrag von mir).

Das scheint doch auch nur eine Abfrage ohne jegliche Unterscheidung zw. Oracle und OpenJDK und ohne wirkliche Ausführung des Exploits zu sein. So zeigt er auch eine total falsche Version an bei mir.
Weiterhin führt die Seite nicht mal ein Java Applet aus sondern braucht Javascript um das Ergebnis anzuzeigen.

 

[Helios]

Nein... unterschieden zwischen Oracle und OpenJDK wird nicht, jedoch, soweit ich dies erkennen kann, wird ein möglicher Exploit eines Browsers korrekt entdeckt. Man korrigiere mich, falls ich mich irre.

Ich will eine Testexploitseite .. zu faul es selbst zu basteln

Na, mach' mal und schreib' eine Testseite .

 

[Evilandi666]

Nein... unterschieden zwischen Oracle und OpenJDK wird nicht, jedoch, soweit ich dies erkennen kann, wird ein möglicher Exploit eines Browsers korrekt entdeckt. Man korrigiere mich, falls ich mich irre.

Wie soll das gehen, wenn nicht mal ein Java Applet ausgeführt wird? Da wird nur via JS die vorhandenen Plugins abgefragt und abgeglichen - that's it. (Aber zugegeben eine Vermutung.)