Warnung vor kritischer Java-Lücke - es sollte sofort deaktiviert werden!

Gast

Zitat

[h=1]Warnung vor kritischer Java-Lücke[/h] Die derzeit aktuelle Java-Version enthält eine schwerwiegende Sicherheitslücke, durch die man sein System beim Besuch einer speziell präparierten Webseite mit Schadcode infizieren kann. Die Lücke wird bereits aktiv ausgenutzt – bislang nur für gezielte Angriffe. Da aber ein Exploit im Umlauf ist, dürfte es nicht lange dauern, bis Cyber-Ganoven sie auch für breit angelegte Angriffswellen ausnutzen.

Beim Aufruf unserer Demoseite startet Java beliebige Prozesse. Im Ernstfall wäre das System jetzt mit Schadcode infiziert. heise Security konnte das Problem nachvollziehen. Anhand der öffentlich zugänglichen Informationen ließ sich eine Proof-of-Concept-Seite erstellen: Beim Aufruf der Seite hat das Java-Plug-in ohne Rückfrage einen Prozess, in diesem Fall die calc.exe, ausgeführt. Statt des Taschenrechners hätte die Webseite aber auch einen Schädling herunterladen und ausführen können.
Betroffen sind alle 7er Versionen von Java. In unserem Test funktionierte der Exploit unter Windows in Verbindung mit allen verbreiteten Browsern einschließlich Google Chrome. Das widerspricht den Aussagen der Sicherheitsexperten von DeepEnd Research, laut denen sich die Schwachstelle nicht unter Chrome ausnutzen lässt. Wer Java auf seinem System installiert hat, sollte die Browser-Plug-ins umgehend deaktivieren – zumindest solange, bis Oracle einen Patch herausgibt.

Geringer Aufwand, großer Sicherheitsgewinn: Unter Firefox deaktiviert man Java über Add-ons, Plugins. Generell ist es eine Überlegung Wert, das Browser-Plug-in von Java in den Ruhestand zu schicken. Schließlich ist die Wahrscheinlichkeit gering, noch auf eine Webseite zu stoßen, die Java für legitime Zwecke einsetzt. Für Webseiten, die nach wie vor unvermeidbar Java einsetzen, kann man einen Zweitbrowser bereithalten. Lokale Java-Anwendungen starten auch mit deaktivierten Plug-ins wie gewohnt.
Bei den bisher beobachteten gezielten Angriffen wird die Lücke zur Installation des Trojaner Poision Ivy genutzt. Die Malware wird dabei auf einem Server in Singapur gehostet. Oracle hat sich bislang noch nicht zu dem Problem geäußert. Daher ist noch völlig unklar, wann die Schwachstelle geschlossen wird. Das nächste reguläre Update würde erst am 16. Oktober erscheinen. (&quot;[email protected]&quot;)

Warnung vor kritischer Java-Lücke | heise online

Zitat

[h=2]Sicherheitslücke entdeckt: So deaktivieren Sie das Java-Plug-in vorübergehend[/h] 27.08.2012 | Von J.M.
tipps&tricks

In der aktuellen Version des Java-Plug-ins wurde eine kritische Sicherheitslücke entdeckt. Betroffen sind alle Unter-Versionen der Java-Laufzeitumgebung 1.7.x – auch wenn Sie Google Chrome verwenden. Laut Informationen von heise online wird diese Lücke bereits aktiv ausgenutzt. Wer eine passend manipulierte Webseite aufruft, bei dem können beliebige Befehle auf dem Computer ausgeführt werden.
Ein ausserplanmässiges Java-Update vom Hersteller Oracle lässt unterdessen auf sich warten. Die einzige Lösung ist daher, das Browser-Plug-in von Java vorübergehend ganz zu deaktivieren. Wie das genau geht, hängt von Ihrem verwendeten Browser ab.
[h=3]Firefox[/h] Klicken Sie auf „Firefox, Add-ons verwalten“. Schalten Sie links zu „Plug-ins“, und klicken Sie rechts bei „Java(TM) Platform SE“ auf den Knopf „Deaktivieren“.
[h=3]Internet Explorer[/h] Klicken Sie rechts oben auf den Stern (Extras), „Internetoptionen“. Schalten Sie zum Tab „Sicherheit“, und klicken Sie auf „Stufe anpassen…“. In der Liste wählen Sie beim Eintrag „Skripting von Java-Applets“ die Option „Deaktivieren“. Zum Schluss klicken Sie auf „OK“, „Ja“ und „OK“.
[h=3]Safari[/h] Klicken Sie auf „Safari, Einstellungen“ (Mac) oder „Zahnrad-Symbol, Einstellungen“ (Windows). Schalten Sie zum Bereich „Sicherheit“, und entfernen Sie den Haken bei „Java erlauben“.
[h=3]Google Chrome[/h] Bis ein Sicherheitsupdate für Java veröffentlicht ist, sollten Sie die Nachfrage, ob Java auf der aktuellen Seite ausgeführt werden darf, jedes Mal verneinen.

Alles anzeigen

Sicherheitslücke entdeckt: So deaktivieren Sie das Java-Plug-in vorübergehend | schieb.de

Cu
Verbogener

**Reppo**

AW: Warnung vor kritischer Java-Lücke - es sollte sofort deaktiviert werden!

Ich benutze weder Java noch Flash! Das sind Dinge, die die Welt nicht braucht.

Gesendet von meinem Nexus 7 mit Tapatalk 2

Gast

Die Sicherheitslücken in Java und Flash sind wirklich bedenklich. Kaum ist ein Loch gestopft gibt es zwei neue.

Zitat

[h=1]Alert! Adobe patcht Flash schon wieder Update[/h]
Nur eine Woche nach dem vergangenen Sicherheitsupdate muss Adobe erneut kritische Lücken in seinem Flash-Player schließen. Das neue Update hat sich durchaus in sich: insgesamt sechs CVE-Nummer listet Adobe in dem Advisory auf, die meisten der Lücken eigenen sich zum Einschleusen von Schadcode. Dabei handelt es sich um einen Integer Overflow und mehrere nicht präziser beschriebene Speicherfehler.
Betroffen sind sämtliche Ausgaben des Flash Players – einschließlich der abgekündigten Android-Versionen, die Adobe nur noch mit Sicherheitsupdates versorgt. Auch die AIR-Laufzeitumgebung sowie das dazugehörige AIR-SDK enthalten die Lücken. Das bezieht auch die AIR-Runtime für iOS mit ein, die in einigen Apps enthalten ist; diese zu aktualisieren ist allerdings Aufgabe der App-Enwickler.
Aktuell sind die Flash-Versionen 11.4.402.265 für Windows und Mac OS X, 11.2.202.238 für Linux, 11.1.115.17 für Android 4.x sowie 11.1.111.16 für Android 3.x. Google hat das neue Flash bereits in die aktuelle Chrome-Version eingebaut und darüber hinaus noch ein paar Bugs in seinem Browser behoben.
Bei AIR ist die Version 3.4.0.2540 für alle Plattformen aktuell. Laut Adobe wurden die Schwachstellen vertraulich von Sicherheitsexperten gemeldet. Das Unternehmen hat das Flash-Update für Windows in die höchste Prioritätsklasse eingeteilt, was bedeutet, dass man es so schnell wie möglich installieren soll.

Adobe patcht Flash schon wieder | heise Security

Cu
Verbogener

**Reppo**

Warnung vor kritischer Java-Lücke - es sollte sofort deaktiviert werden!

Jetzt mal ehrlich, wofür braucht man noch Flash außer für Billo-Browser Games?

Sent from my new iPad Wifi/4G 64 GB using Tapatalk HD

Homer

Ich kann den Aussagen nur beipflichten.
Habe es am eigenen Leib bzw. Rechner erfahren.
Habe vor ca. 14 Tagen eine Meldung bekommen das neue Java Updates verfügbar sind.
Sicherheitsprobleme mit Java waren mir bis dahin nicht bekannt.
Update ausgeführt und dann ging der Zirkus los.
Nach dem Java Update grüßten die Trojaner! Trojaner Typ: TR/Crypt.XPACK.Gen
Lege die Hand ins Feuer das daß Ding bei dem Java Update anbei war.
Meine damalige Anti Viren Software (Mc Afee Internet Security) hat es unbemerkt mit lahm gelegt.
Virenscanns haben keinen Erfolg gebracht bzw. waren ohne Befund. Keine Sicherheitsprobleme.
Versuche auf andere Antivierensoftware online zurück zu greifen wurden durch die Schadsoftware ebenfalls geblockt! (Glaube 404 Error/Not Found)
Mc Afee wurde darauf hin von mir entlassen. Neue Antivierensoft (Installations CD) fand dann den Trojaner.
Fazit: Java deaktiviert. Keine weiteren Updates mehr. Am besten Finger weg erspart euch damit event. Ärger.

Gruß: Homer

Gast

Zitat von Homer;471351

Habe vor ca. 14 Tagen eine Meldung bekommen das neue Java Updates verfügbar sind.

Die ganzen unnötigen automatischen Updates der Programme sind ausgeschaltet. Die jusched.exe vom Java fliegt gleich vom Rechner. Fast alle Programme starten beim Windowsstart ihr Updateprogramm. Egal ob das jetzt DivX, Skype oder Flash Player ist. Die ganzen Programme verbraten nur unnötigen Speicher.

Natürlich sollte man regelmäßig Updates machen. Aber die mache ich per Hand.

Cu
Verbogener

mandy28

Zitat

30.08.2012
Angreifer können eine Sicherheitslücke in Java 7 Update 6 ausnutzen, um über verschiedene Browser eigenen Code auszuführen.
Atif Mushtaq von der Security-Firma Fireeye hat auf eine Sicherheitslücke in Java aufmerksam gemacht, für die im Internet bereits funktionierende Exploits kursieren. Betroffen sind möglicherweise verschiedene Versionen des Java Runtime Environment 1.7. Getestet hat Mushtaq den Exploit mit JRE 1.7 Update 6. Übers Internet lässt sich die Schwachstelle ausnutzen, wenn Webbrowser über das Java-Plugin das JRE verwenden.
Der Security-Scanner Metasploit hat bereits passenden Exploit-Code integriert. Im Test zeigten sich die folgenden System als verwundbar: Mozilla Firefox auf Ubuntu Linux 10.04, Internet Explorer / Mozilla Firefox / Chrome auf Windows XP, Internet Explorer / Mozilla Firefox mit Windows Vista, Internet Explorer / Mozilla Firefox unter Windows 7 und Safari mit Mac OS X 10.7.4. Dass weitere Systeme davon betroffen sind, gilt als sicher.
Der im Internet gefundene Exploit, der auf einem Rechner in Taiwan gehostet ist, installiert einen Trojaner auf dem angegriffenen Rechner, der wiederum einen Server in Singapur kontaktiert und somit vermutlich Teil eines Botnetzes wird. Beispielcode, der unter Windows das Binary "calc.exe" ausführt ist auf der Website Pastie zu finden.
Einen Bugfix für die Schwachstelle gibt es bisher nicht, also sollte man Java im Browser am besten komplett abschalten. In der Common Vulnerabilities und Exposures Database firmiert die Sicherheitslücke unter dem Code CVE-2012-4681.
(Diese Meldung stammt vom Magazin Admin)
Update 1: In Bugzilla ist der Bug hier zu finden, detaillierte Informationen zum Problem finden sich auch in diesem Thread auf der Open-JDK-Mailingliste. (mfe)
Update 2: Oracle hat scheinbar eiligst ein Update herausgebracht, dass den Bug fixen soll und empfiehlt das Update auf Version 7, Update 7. Mehreren Webseiten zufolge sei der Bug dort gefixt, Oracle selbst hüllt sich noch immer in Schweigen. (mfe)

Alles anzeigen

Java-Sicherheitslücke bedroht alle Browser und Betriebssysteme « NEWS « Linux-Magazin Online

sossenprinz

Kritische Java-7-Lücke: Oracle veröffentlicht Patch

In der Nacht auf heute hat Oracle ein Notfall-Update für Java 7 veröffentlicht. Dieses stopft einen kritischen Zero-Day-Exploit, der Anfang der Woche bekannt geworden worden war. Mit der Lücke war es möglich, umfassenden Zugriff auf das System eines Nutzers zu bekommen.

Laut dem von Oracle veröffentlichten 'Security Alert' nimmt sich das Sicherheits-Update gleich vier Schwachstellen an, drei davon haben den höchsten möglichen Schweregrad mit der Nummer 10.0. Eine hat dagegen nur die Einstufung 0.0, weil sie eigentlich nicht ausgenützt werden kann, sie tritt bei Java 6 auf.

Nach Angaben von 'Heise' funktionieren diese Oracle-Gegenmaßnahmen auch, in ersten Tests konnten die Kollegen bestätigen, dass der kritische Exploit nach der Installation des Updates nun nicht mehr ausgenützt werden könne. Es kann auf der 'offiziellen Java-Seite' heruntergeladen werden.

Mit dem Patch durchbricht Oracle seinen an sich völlig starren Update-Rhythmus, normalerweise veröffentlicht das Unternehmen Patches bzw. Updates nur alle vier Monate. Am Anfang der Woche war aber bekannt geworden, dass von der kritischen Zero-Day-Lücke alle aktuellen Browser betroffen sind, Sicherheitsexperten hatten die Schwachstelle in Java 7 (frühere Versionen waren nicht betroffen) als "schnellen und zuverlässigen Exploit" bezeichnet.

Im Rahmen des Updates habe sich Oracle auch beim Sicherheitsexperten Adam Gowdiak bedankt, schreibt Heise. Das allerdings wirft auch so manche Frage auf: Laut Gowdiak wisse der Java-Hersteller nämlich bereits seit dem Frühjahr, dass es diese Lücke gibt. Seine Firma Security Explorations habe Oracle über den nun gestopften Zero-Day-Exploit (sowie einige weitere mehr) schon im April in Kenntnis gesetzt.

Oracle, das im Jahr 2010 Java von Sun Microsystems übernommen hat, veröffentlichte den außerplanmäßigen Patch erst jetzt, nachdem die Lücke öffentlich bekannt geworden ist, also mit einiger Verspätung.

QUELLE: winfuture

Gast

Zitat

Nur 9 von 22 Virenwächtern blockieren Java-Exploit

Nicht einmal die Hälfte von 22 untersuchten Antivirenprogrammen schützt vor dem derzeit kursierenden Exploit, der eine hochkritische Schwachstelle in der Java-Version 7 Update 6 ausnutzt. Das kam bei einer im Auftrag von heise Security durchgeführten Analyse des Testlabors AV-Comparatives heraus.
Wir haben zwei Versionen des Exploits getestet: Erstens eine Basisversion, die im Wesentlichen auf dem veröffentlichten Proof-of-Concept beruhte und statt des Taschenrechners das Notepad gestartet hat. Die zweite Variante haben wir um eine Download-Routine ergänzt, die eine EXE-Datei aus dem Internet auf die Platte schreibt. Als Testsystem kam Windows XP zum Einsatz, auf dem außer im Fall von Avast, Microsoft und Panda die Security-Suiten installiert waren.

Gefahr erkannt, Gefahr gebannt: Die Microsoft Security Essentials haben zumindest einen von zwei Angriffsversuchen erkannt – einen zu wenig, aber mehr als die meisten anderen Scanner im Test. Von den 22 Testkandidaten konnten nur 9 die beiden Exploit-Variationen blockieren (Avast Free, AVG, Avira, ESET, G Data, Kaspersky, PC Tools, Sophos und Symantec). Gepatzt haben hingeben 12 Virenwächter (AhnLab, Bitdefender, BullGuard, eScan, F-Secure, Fortinet, GFI-Vipre, Ikarus, McAfee, Panda Cloud Antivirus. Trend Micro und Webroot). Microsofts kostenlose Security Essentials konnten zumindest die Basisversion des Exploits stoppen.
Bei den Ergebnissen ist zu beachten, dass sie eine Momentaufnahme vom 30. August um 13 Uhr sind und keine Rückschlüsse auf die Gesamtqualität der Virenschutzprogramme erlauben. Die getestete Java-Version war zu diesem Zeitpunkt aktuell, der Exploit-Code bereits seit mehreren Tagen im Umlauf.
Die Ergebnisse zeigen, dass man sich beim Schutz seines Systems nicht allein auf den Virenwächter verlassen darf. Auch die installierten Anwendungen und Plug-ins müssen gepflegt werden, damit sie Schädlingen keine Schlupflöcher bieten. Die kritische Java-Lücke hat Oracle allem Anschein nach am Donnerstagabend mit der Java-Version 7 Update 7 geschlossen. Wer Java auf seinem System installiert hat, sollte das Update umgehend einspielen.
Man kann davon ausgehen, dass sich der Exploit im Waffenarsenal der Cyber-Ganoven noch einige Jahre größter Beliebtheit erfreuen wird, da er plattformübergreifend funktioniert und sehr zuverlässig ist. Wie zuverlässig er ist, zeigt ein Blick in die Statistik einer Installation des BlackHole-Angriffsbaukastens: Durch den Einbau des Exploits beträgt die Erfolgsquote der Java-Exploits 75 bis 99 Prozent. Insgesamt konnte BlackHole jeden vierten Rechner infizieren – üblicherweise klappt das nur in einem von zehn Fällen. (&quot;[email protected]&quot;)

Alles anzeigen

Nur 9 von 22 Virenwächtern blockieren Java-Exploit | heise Security

1 Klick Download der aktuellen JAVA Version wo die Sicherheitslücke bereits gestopft ist.

x86 - 32 Bit

http://www.filehippo.com/de/download_jr…225fcaccefba69/

x64 - 64Bit Version

http://www.filehippo.com/de/download_jr…07a0667a1927ad/

Cu
Verbogener

sossenprinz

JAVA - Kritische Lücke im veröffentlichten Patch

Anfang dieser Woche wurde eine als äußerst kritisch einzustufende Schwachstelle in Java bekannt. Aus diesem Grund hat sich Oracle ebenfalls in dieser Woche dazu entschieden, einen Notfall-Patch zu veröffentlichen.

Die in Polen ansässigen Sicherheitsforscher aus dem Hause Security Explorations behaupten in einer an das Online-Portal 'Computerworld.com' versendeten E-Mail, dass man in dem besagten Patch für Java eine kritische Sicherheitslücke ausfindig machen konnte. Damit soll es möglich sein, aus der Sandbox von Java auszubrechen.

Alle wichtigen Informationen in diesem Zusammenhang wurden von den Sicherheitsexperten an Oracle versendet. Dazu gehört auch ein funktionierender Proof-of-Concept-Angriffscode. Mit der Öffentlichkeit will man vorerst keine Details über die entdeckte Lücke teilen. Diesbezüglich will Security Explorations warten, bis Oracle einen Patch veröffentlicht.

Angesichts des Schweregrades der jüngst bekannt gewordenen Sicherheitslücke war die Empfehlung von Sicherheitsexperten bisher ganz klar: Das Java-Plugin sollte umgehend abgeschaltet werden. Üblicherweise veröffentlicht Oracle nur alle vier Monate entsprechende Updates. Zum frühzeitigen Release eines Updates haben sich die Entwickler entschieden, da die Schwachstelle bereits aktiv angegriffen wurde.

QUELLE: winfuture

Gast

Mittlerweile ist das Update 9 erschienen. Stellt sich nur die Frage wo das Update 8 geblieben ist?
Und so kurze Zeit nach der unplanmäßigen Version 7 schon wieder einer neue Version??
Sehr sonderbar

Java Runtime Environment (32 Bit) - Download - CHIP Online
Java Runtime Environment (64 Bit) - Download - CHIP Online

Cu
Verbogener

Warnung vor kritischer Java-Lücke - es sollte sofort deaktiviert werden!

Jetzt mitmachen!

Samsung TV Plus/Rakuten TV

Pluto TV

Elektronische Patientenakte: Sicherheitsbedenken durch den CCC

Festnahmen von Online-Drogenhändlern in Deutschland

KJM kritisiert öffentliche Sperrlisten

Plex Live TV / LG Channels / Wedo TV

Deutsche Bank Sicherheitsvorfall: Romantische Eskapaden im Rechenzentrum

Social-Media-Verbot für Kinder: Ein Blick auf Deutschlands Herausforderungen

Die Pornhub-Sperre in Deutschland: Ein kurzes Fazit

IPTV-Piraterie 2025: Ein Blick auf das illegale Streaming

Viren und Trojaner News

HILFE: BKA Trojaner

Welche Anti Viren Software ist zu empfehlen?

Neuer Lösegeld Trojaner im Umlauf

Warnung vor kritischer Java-Lücke - es sollte sofort deaktiviert werden!

BSI rät zur System-Überprüfung vor dem 8. März

Virenscanner empfehlungen zur Virenbeseitigung

WORM/Kido.IH.54' gefunden brauche Hilfe

Abzock-Schutz im ULC

Warnung eingehende Mails (Verschlüsselungstrojaner)